Spearphishing via Link: Spearphishing Link (T1566.002)

Simulare una campagna di spearphishing link in laboratorio è un esercizio fondamentale per testare la resilienza umana e tecnologica dell'organizzazione. Lo strumento di riferimento è GoPhish (open source), un framework completo che permette di orchestrare campagne di phishing simulato con tracciamento dei click e reportistica integrata.

Il setup iniziale prevede il download del binario e l'avvio del server di gestione. Una volta operativo, GoPhish espone un'interfaccia web dove configurare il template email, il profilo SMTP di invio e il landing page che raccoglierà le interazioni. Per un test realistico, il landing page dovrebbe replicare un portale aziendale o un servizio cloud noto, senza esfiltrare credenziali reali — l'obiettivo è misurare il tasso di click, non compromettere account.

Per scenari più avanzati, l'approccio prevede di combinare il phishing link con un redirect verso una pagina di consent OAuth. AADInternals (open source) include funzionalità specifiche per inviare email di consent phishing che richiedono alla vittima di autorizzare un'applicazione OAuth malevola, simulando esattamente il flusso documentato per gruppi come APT42 e Storm-1811. Il modulo rilevante si invoca con:

Install-Module AADInternals -Scope CurrentUser

Send-AADIntOAuthConsentPhishingEmail -Recipient target@dominio.lab -ClientId -RedirectUri

Per testare la robustezza del gateway email contro i link offuscati, è utile preparare payload che sfruttino le tecniche di evasione reali: URL con encoding esadecimale dell'hostname, domini IDN con caratteri omografi e URL shortener a catena. Lo strumento Evilginx2 (open source) consente di creare proxy reverse trasparenti che intercettano le sessioni autenticate, simulando un attacco man-in-the-middle post-click particolarmente efficace contro portali protetti da MFA.

Una catena d'attacco tipica da laboratorio segue questa sequenza:

1. Registrazione di un dominio typosquatted che imita il brand aziendale
2. Configurazione di Evilginx2 come reverse proxy verso il portale di autenticazione reale
3. Invio della campagna GoPhish con link al dominio typosquatted
4. Raccolta delle sessioni autenticate e dei token di sessione
5. Documentazione del tasso di click, del tempo medio tra ricezione e interazione, e del numero di segnalazioni al SOC

Sul versante macOS, il test dovrebbe includere link che innescano il download di file .dmg o script AppleScript, verificando se le policy Gatekeeper e XProtect intervengono correttamente. Su Linux, il focus si sposta su payload .desktop o script bash mascherati da documenti, distribuiti tramite link a servizi di file sharing.

La detection dello spearphishing link richiede una strategia a catena: l'evento singolo — un click su un link — è rumore, ma la correlazione tra email in ingresso, navigazione sospetta e processi anomali genera segnali ad alta fedeltà.

Su Windows, la detection primaria (AN0298) correla i log di Microsoft 365 Unified Audit con Sysmon e i Security Event Log. Il pattern da intercettare è lineare: un'email contenente un URL sospetto viene recapitata, l'utente clicca il link, il browser genera un processo figlio inatteso. La regola SIEM dovrebbe cercare eventi in cui outlook.exe o il browser generano processi come powershell.exe, cmd.exe, mshta.exe o wscript.exe entro una finestra temporale configurabile — il parametro ClickToExecutionWindow è critico e va calibrato sull'ambiente, tipicamente tra 30 secondi e 5 minuti.

Le sorgenti di log essenziali sono tre: m365:unified per tracciare la ricezione e il click nelle email, WinEventLog:Sysmon (EventID 1 per la creazione processi, EventID 3 per le connessioni di rete, EventID 22 per le query DNS), e WinEventLog:Security (EventID 4688 con audit di processo abilitato). Il tuning iniziale deve popolare la lista SuspiciousTLDs con i TLD ad alto rischio — .xyz, .top, .tk, .buzz — e la lista URLShortenerDomains per forzare l'espansione dei link abbreviati prima della valutazione.

Su Linux (AN0299), il rilevamento si basa su mail log, proxy web e auditd. La catena è analoga: un URL sospetto nei log del mail server, seguito da una connessione in uscita catturata dal network security monitor, e infine un processo shell (bash, sh, python) generato dal browser. I log auditd:SYSCALL con regole sulle syscall execve catturano il momento in cui il browser lancia un interprete. Il tuning MonitoredBrowsers deve includere tutti i processi browser dell'ambiente (firefox, chrome, chromium).

Su macOS (AN0300), la correlazione avviene attraverso l'unified log. I segnali critici sono l'accesso di Safari o Chrome a domini appena registrati o con certificati anomali — il parametro CertificateAnomalies intercetta certificati self-signed o con mismatch — seguito dall'esecuzione inattesa di osascript o Terminal.

Il quarto pilastro (AN0301) copre il consent phishing OAuth. I log azure:signinlogs rivelano grant di consenso anomali: applicazioni non nella whitelist AllowedApps, consent da geografie inusuali, o pattern di autorizzazione multipla in finestre temporali ristrette. Questo alert è particolarmente importante perché il consent phishing non genera artefatti endpoint — tutto avviene nel cloud.

Per la gestione dei falsi positivi, il consiglio è di partire in modalità audit per due settimane, costruire una baseline dei domini visitati post-email e degli shortener utilizzati legittimamente, e solo dopo attivare gli alert in modalità blocking.

L'analisi forense di un incidente originato da spearphishing link segue una direttrice precisa: dall'email al browser, dal browser al payload, dal payload alla persistenza. Ogni passaggio lascia artefatti specifici che, ricostruiti in sequenza, formano la timeline dell'intrusione.

Il punto di partenza è il mail store. Su ambienti Microsoft 365, i log di Message Trace restituiscono mittente, destinatario, oggetto e — crucialmente — gli URL contenuti nel corpo dell'email. In ambienti on-premise con Exchange, il file di log di Message Tracking e il contenuto della mailbox (formato .eml o .msg) preservano il link originale. È essenziale acquisire l'header completo dell'email per verificare i risultati SPF, DKIM e DMARC, e per estrarre l'IP sorgente del server SMTP.

Il secondo strato è il browser. Su Windows, la cronologia di Chrome risiede nel database SQLite History all'interno del profilo utente, consultabile con strumenti come DB Browser for SQLite (open source). La tabella urls contiene timestamp e URL visitati, mentre downloads registra i file scaricati con percorso e sorgente. Per Edge basato su Chromium, la struttura è identica. Su Firefox, il database places.sqlite offre informazioni analoghe. Su macOS, Safari archivia la cronologia in History.db nella cartella del profilo.

Il terzo strato riguarda i processi generati. Gli artefatti Sysmon sono fondamentali: EventID 1 (Process Create) mostra la catena padre-figlio che collega il browser all'esecuzione del payload. Il campo ParentImage che contiene il percorso del browser e il campo CommandLine del processo figlio rivelano esattamente cosa è stato eseguito. In assenza di Sysmon, gli Amcache e Shimcache di Windows registrano comunque l'esecuzione dei binari, mentre i Prefetch (file .pf in C:\Windows\Prefetch) documentano le prime otto esecuzioni con timestamp.

Per incidenti che coinvolgono consent phishing OAuth, gli artefatti endpoint sono minimi. L'analisi si sposta interamente sui log cloud: Azure AD Audit Log registra l'evento di consent grant con Application ID, permessi richiesti e utente che ha autorizzato. È fondamentale confrontare l'Application ID con il registro delle applicazioni autorizzate per identificare quelle malevole.

Gli artefatti di rete completano il quadro. I log del proxy web o del firewall next-gen documentano le connessioni verso il dominio malevolo, mentre il passive DNS — consultabile tramite servizi come il database PassiveTotal o il servizio VirusTotal — permette di ricostruire la storia del dominio: data di registrazione, hosting precedente, altri domini ospitati sullo stesso IP. Campagne come Night Dragon (C0002) e Operation Spalax (C0005) hanno utilizzato link verso siti compromessi, rendendo l'analisi dell'infrastruttura web un passaggio obbligato per collegare indicatori disparati.

La timeline finale deve integrare tutti i livelli — email ricevuta → click registrato → download completato → processo eseguito → connessione C2 stabilita — con timestamp normalizzati in UTC.

Lo spearphishing link è una tecnica trasversale che attraversa confini geografici e motivazioni operative. Con 43 gruppi documentati, l'analisi dei pattern rivela cluster significativi per attribuzione e targeting.

APT29 (Russia) ha impiegato la tecnica nella campagna C0021 del novembre 2018, inviando email con link unici e tracciabili a istituzioni governative, ONG e aziende nei settori oil & gas e chimico, concentrate nell'area di Washington D.C. ma estese a Europa, Hong Kong, India e Canada. L'uso di link individuali per vittima suggerisce un'infrastruttura di tracking sofisticata per monitorare quali bersagli interagiscono con l'email — un indicatore di maturità operativa elevata.

Il cluster iraniano è particolarmente attivo. APT42 e Magic Hound condividono l'impiego dello spearphishing link come vettore primario. Magic Hound ha mostrato versatilità combinando URL abbreviati, documenti Word con macro e download diretti del RAT Pupy tramite script PowerShell. OilRig e APT33 completano la presenza iraniana, con APT33 che si distingue per l'uso di link diretti a file .hta — un indicatore specifico che può alimentare regole di detection. APT39 chiude il quadro iraniano con un approccio più convenzionale.

Il panorama cinese è altrettanto denso. Mustang Panda nella campagna RedDelta Modified PlugX Infection Chain Operations (C0047, luglio 2023 – dicembre 2024) ha distribuito link a file HTML che eseguivano fingerprinting del User Agent per servire file MSC malevoli solo a sistemi Windows — una tecnica di evasione che riduce l'esposizione dell'infrastruttura. APT1, APT3, APT32 ed Earth Lusca impiegano varianti del medesimo approccio, mentre Elderwood si distingue per l'uso storico di exploit zero-day distribuiti tramite link a web server non convenzionali. BlackTech predilige link a servizi cloud legittimi per il delivery, un pattern condiviso con Mustang Panda.

Il Lazarus Group (Corea del Nord) ha sfruttato la tecnica nella campagna Operation Dream Job (C0022), inviando link OneDrive con false offerte di lavoro nei settori difesa e aerospaziale — un approccio che combina social engineering altamente personalizzato con infrastruttura Microsoft legittima.

Sul versante cybercriminale, FIN7 ha condotto campagne ampie con link typosquatted (il dominio "ip-sccanner[.]com" è un esempio documentato), mentre Wizard Spider e TA505 hanno preferito link a Google Drive o servizi di hosting gratuiti. Storm-1811 rappresenta un'evoluzione recente, combinando link a pagine di phishing EvilProxy per il credential harvesting, evidenziando la convergenza tra tecniche APT e strumenti phishing-as-a-service.

Il software distribuito attraverso questo vettore comprende loader e stealer di largo impiego: Emotet, TrickBot, QakBot, Bumblebee, DarkGate, Latrodectus e Lumma Stealer sono tutti stati consegnati via link malevoli, spesso in catene di distribuzione multi-stadio. La presenza di SocGholish e Havoc (quest'ultimo distribuito tramite campagne ClickFix) segnala l'adozione crescente di framework C2 open source nella filiera dello spearphishing.

Il trend emergente è il consent phishing e il device code phishing, dove il link non conduce a malware ma a una pagina di autorizzazione OAuth che sottrae token di accesso. Questo approccio bypassa completamente le difese endpoint e l'MFA tradizionale, rendendo la detection cloud-native un requisito strategico.

Framework MITRE ATT&CK: T1566.002, TA0001. Campagne: C0002 (Night Dragon), C0005 (Operation Spalax), C0011, C0016 (Operation Dust Storm), C0021, C0022 (Operation Dream Job), C0036 (Pikabot Distribution February 2024), C0047 (RedDelta Modified PlugX Infection Chain Operations). Detection: DET0107 (AN0298, AN0299, AN0300, AN0301). Tool di detection: Sysmon, auditd, Microsoft 365 Unified Audit Log, Azure AD Sign-in Logs. Integrato con conoscenza professionale per tool e procedure operative.