Account Social Fasulli: Establish Accounts – Social Media Accounts (T1585.001)

L'obiettivo di un red team che simula T1585.001 non è "hackerare un social network", ma costruire un'infrastruttura di persona credibili e dimostrare al cliente quanto sia facile ingannare i dipendenti. Il lavoro si divide in due fasi: creazione della persona e validazione della sua credibilità tramite OSINT.

Fase 1 — Costruzione della persona. Servizi come This Person Does Not Exist generano volti fotorealistici con reti generative avversariali, eliminando il rischio di usare foto rubate. Per i metadati della foto di profilo è buona prassi pulirli con ExifTool (open source):

exiftool -all= foto_profilo.jpg

Questo rimuove tutti i tag EXIF che potrebbero rivelare l'origine artificiale o il dispositivo di generazione. Il profilo va poi popolato su una o più piattaforme con dati coerenti: stesso ruolo lavorativo, stessa azienda target, stesse competenze. Tool come Fake Name Generator (gratuito) producono identità complete con indirizzo, numero di telefono e codice fiscale fittizio per diverse nazionalità.

Fase 2 — Verifica OSINT della persona. Prima di ingaggiare i target, verifica che la persona regga a un'indagine superficiale. Sherlock (open source) cerca un username su centinaia di piattaforme social contemporaneamente:

sherlock nome_utente_fittizio

L'output mostra su quali siti lo username risulta registrato, confermando la coerenza cross-platform. Per una ricognizione più ampia, SpiderFoot (open source) può essere lanciato in modalità automatica per raccogliere tutte le tracce digitali di un'identità:

spiderfoot -s "Nome Cognome" -t SOCIAL

Se il progetto prevede anche l'invio di messaggi di social engineering via social, documenta ogni interazione in un report strutturato: timestamp, piattaforma, messaggio inviato, risposta ricevuta. Strumenti come GoPhish (open source) gestiscono campagne di phishing via email, ma per social engineering su piattaforme social la tracciatura resta manuale o tramite framework proprietari del team.

Un aspetto critico: durante l'engagement, il red team deve concordare con il cliente limiti chiari. Creare profili falsi viola i Terms of Service di quasi tutte le piattaforme, e in alcune giurisdizioni può avere implicazioni legali. Documentare l'autorizzazione scritta nel Rules of Engagement è obbligatorio.

Questa è una delle tecniche più difficili da rilevare dal SOC, perché l'attività malevola avviene interamente fuori dal perimetro aziendale. Il trucco è spostare il focus sulla detection indiretta: non cerchi il profilo falso su LinkedIn, ma intercetti il momento in cui quel profilo viene usato per colpire i tuoi utenti.

Monitoraggio delle connessioni inbound sospette. La prima linea di difesa è il monitoraggio dei referrer nei log del proxy web e del mail gateway. Quando un dipendente clicca un link ricevuto via messaggio social, il traffico verso il dominio aziendale o un dominio di phishing transita dal proxy. Configura alert per referrer provenienti da piattaforme di messaggistica social (lnkd.in, t.co, l.facebook.com) che puntano a URL non categorizzati o registrati di recente. Su Splunk, una correlazione utile è:

index=proxy sourcetype=squid referer="*lnkd.in*" OR referer="*t.co*" | stats count by src_ip, url, referer | where count < 3

L'idea è isolare i primi contatti con URL poco frequentati, che spesso corrispondono a landing page di phishing appena create.

Segnalazioni dai dipendenti. Implementa un canale dedicato (un alias email o un bot su Slack/Teams) dove i dipendenti possano segnalare richieste di connessione sospette. Le segnalazioni vanno correlate con i log HR: se qualcuno riceve una richiesta LinkedIn da un presunto collega di un dipartimento che non esiste, è un indicatore forte. Questo approccio ha generato detection reali nel caso di HEXANE, che impersonava recruiter HR su LinkedIn.

Monitoraggio OSINT proattivo. Piattaforme come SpiderFoot (open source) o Recorded Future (a pagamento) permettono di cercare periodicamente profili social che menzionano il nome dell'organizzazione, i ruoli chiave o i domini aziendali. Configura scan settimanali e confronta i risultati con l'elenco reale dei dipendenti. Ogni profilo non riconosciuto va indagato.

La gestione dei falsi positivi è delicata: ex dipendenti, consulenti e partner legittimi generano rumore. Mantieni una whitelist aggiornata con HR e filtra i risultati noti prima di escalare.

L'analisi forense di T1585.001 è atipica: non troverai artefatti sul disco della vittima che dimostrano la creazione del profilo falso. Quello che puoi ricostruire è la catena di eventi dal momento in cui la persona fittizia ha contattato l'utente fino all'eventuale compromissione.

Artefatti browser. Se la vittima ha interagito con il profilo falso dal browser aziendale, i database SQLite della cronologia e delle sessioni contengono tracce preziose. Su sistemi Windows, il file History di Chrome si trova nel percorso AppData dell'utente e può essere interrogato con sqlite3 (open source):

sqlite3 "History" "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls WHERE url LIKE '%linkedin%' ORDER BY last_visit_time DESC LIMIT 50;"

Questo restituisce gli ultimi 50 URL LinkedIn visitati, con timestamp preciso. Cerca pattern ripetuti verso profili specifici o pagine aziendali fittizie — nel caso di EXOTIC LILY, le vittime venivano indirizzate su profili LinkedIn che impersonavano colleghi.

Artefatti di messaggistica. Per Telegram, usato da gruppi come Water Galura e Medusa Group, i log di sessione desktop si trovano nella cartella tdata del client Telegram Desktop. L'analisi dei file map e delle cache può rivelare ID di canali e gruppi a cui l'utente è stato invitato. Per Facebook Messenger, i dati risiedono nel profilo browser o nell'app mobile; in ambito mobile forensics, tool come Cellebrite UFED (a pagamento) o ALEAPP (open source) estraggono le conversazioni dai backup.

Correlazione con fonti esterne. La parte più investigativa riguarda il profilo falso stesso. Servizi di WHOIS storico come DomainTools (a pagamento) e PassiveTotal di RiskIQ (freemium) consentono di verificare se il profilo social era associato a domini di phishing. I log di Certificate Transparency, consultabili tramite il servizio crt.sh (gratuito), possono rivelare certificati emessi per domini collegati alla persona fittizia.

Costruisci la timeline partendo dal primo contatto social (timestamp del messaggio o della richiesta di connessione), passando per i click su link malevoli (log proxy), fino all'eventuale download di payload (artefatti endpoint). La coerenza temporale tra queste fasi è ciò che trasforma indizi isolati in una catena di evidenze.

Con 17 gruppi documentati, questa tecnica è un crocevia di attori con motivazioni molto diverse. Analizzarli rivela pattern geografici e operativi ben definiti.

Cluster iraniano — Social engineering industriale. Il blocco più consistente è iraniano. CURIUM ha costruito reti di profili fittizi su Facebook e LinkedIn, spesso con identità femminili attraenti, per coltivare relazioni di lunga durata con le vittime prima di inviare malware. Magic Hound ha operato in modo simile su LinkedIn, aggiungendo comunicazioni vocali per rafforzare la credibilità. Cleaver ha investito nella qualità dei profili LinkedIn con foto, dettagli professionali e reti di connessioni realistiche. Fox Kitten ha adottato un approccio diverso, usando X per comunicare direttamente con vittime di ransomware. Infine, HEXANE ha impersonato specificamente personale HR con finte offerte di lavoro su LinkedIn. Il pattern comune è l'investimento prolungato nella costruzione della relazione.

Cluster nordcoreano — Fake job offers. Lazarus Group ha creato account X per social engineering diretto, ma è nella campagna Operation Dream Job (C0022) che il modello emerge con chiarezza: profili LinkedIn falsi usati per proporre opportunità lavorative nel settore difesa e aerospaziale, colpendo USA, Israele, Australia, Russia e India tra il 2019 e il 2020. Contagious Interview replica lo stesso schema con profili LinkedIn e Telegram per campagne di reclutamento fraudolento. Moonstone Sleet opera in modo analogo con account social per interagire con le vittime. Il cluster nordcoreano privilegia l'efficienza: persona meno elaborate, ma targeting preciso.

Attori con usi non convenzionali. Sandworm Team ha usato account social non per adescare vittime, ma per disseminare documenti interni rubati — un impiego orientato all'information warfare. APT32 ha combinato pagine Facebook con siti web falsi durante operazioni in area sud-est asiatico. In Operation Ghost (C0023), APT29 ha registrato account X come nodi C2, dimostrando che i profili social possono servire anche come infrastruttura tecnica e non solo come vettore di social engineering.

Trend emergenti. Scattered Spider, gruppo motivato finanziariamente e non da spionaggio statale, crea profili social che replicano identità di dipendenti reali per supportare account fraudolenti creati nell'ambiente vittima — un'evoluzione della tecnica verso il domain di identity fraud. Star Blizzard si concentra su piattaforme professionali per ricognizione, mentre Kimsuky monitora trend di sicurezza e potenziali target tramite account social dedicati. La tendenza è chiara: Telegram e le piattaforme professionali stanno affiancando Facebook e X come vettori primari.

Framework MITRE ATT&CK v16 — T1585.001 (Establish Accounts: Social Media Accounts), TA0042, campagne C0022 (Operation Dream Job), C0023 (Operation Ghost), mitigazione M1056. Tool di detection e OSINT: Sherlock, SpiderFoot, ExifTool, Recorded Future, DomainTools. Integrato con conoscenza professionale per tool e procedure operative.