Un recente attacco di spear phishing ha preso di mira una istituzione finanziaria europea, segnalando un possibile ampliamento delle campagne di cyber espionage oltre i bersagli tradizionali in Ucraina. L’operazione è attribuita al gruppo UAC 0050, noto anche per attività di raccolta dati e potenziali frodi, con un interesse crescente verso organizzazioni collegate a iniziative di sviluppo regionale e ricostruzione.

La catena di infezione parte da una email costruita con temi legali e amministrativi, pensata per convincere il destinatario a cliccare su un link e scaricare un archivio. Un dettaglio rilevante è l’uso di un servizio di file sharing pubblico come PixelDrain, utile agli attaccanti per aggirare controlli basati sulla reputazione dei domini e ridurre la probabilità di blocco automatico. Il bersaglio, secondo le informazioni disponibili, ricopriva un ruolo senior in ambito legale e policy con visibilità su procurement e meccanismi finanziari, quindi un profilo ad alto valore per intelligence e accesso a processi interni.

Una volta scaricato il file, l’attacco utilizza una sequenza multilivello di archivi compressi. All’interno dello ZIP è presente un RAR che contiene un file 7-Zip protetto da password. Questa stratificazione aumenta l’attrito per i sistemi di scansione e per gli strumenti di sicurezza che analizzano gli allegati. Nel pacchetto finale compare un eseguibile camuffato da documento, sfruttando la tecnica della doppia estensione, ad esempio pdf.exe, per indurre l’utente a credere di aprire un PDF.

L’esecuzione porta all’installazione di un pacchetto MSI che distribuisce RMS Remote Manipulator System, un software di controllo remoto che abilita accesso persistente, condivisione desktop e trasferimento file. L’impiego di strumenti legittimi o semi-legittimi rientra nelle strategie living off the land, spesso più difficili da rilevare per gli antivirus tradizionali, soprattutto quando configurati per operare in modo silenzioso.

L’uso di RMS è coerente con schemi già osservati in campagne precedenti, dove lo stesso attore ha fatto ricorso anche ad altri strumenti di accesso remoto e a trojan per il controllo dei sistemi. Il quadro complessivo evidenzia come la sicurezza email, la protezione contro archivi annidati e il monitoraggio di installazioni MSI sospette siano punti chiave per ridurre il rischio nelle organizzazioni finanziarie europee.