Spearphishing con Link Malevolo: Spearphishing Link (T1598.003)

In un engagement red team, simulare lo spearphishing con link richiede la costruzione di un'infrastruttura credibile e misurabile. Il punto di partenza è un framework di phishing campaign management: GoPhish (open source) è lo standard de facto. Una volta installato, la creazione di una campagna si articola in tre fasi: configurazione del profilo SMTP, costruzione del template email e definizione del landing page.

Per la pagina di credential harvesting, GoPhish include un editor integrato che può importare pagine esistenti. Tuttavia, per simulare attacchi adversary-in-the-middle più sofisticati — quelli che catturano cookie di sessione oltre alle credenziali — lo strumento di riferimento è Evilginx2 (open source). Evilginx2 opera come reverse proxy tra la vittima e il sito legittimo, intercettando i token di sessione in tempo reale. La configurazione di un "phishlet" (il file YAML che descrive il target) segue una sequenza logica:

1. Configurare il dominio di phishing con DNS A record puntato al server Evilginx2
2. Caricare il phishlet specifico per il servizio target (es. Microsoft 365, Google Workspace)
3. Generare il lure URL con il comando lures create <phishlet_name>
4. Ottenere il link di phishing con lures get-url <lure_id>

Per testare la tecnica Browser-in-the-Browser, il progetto di mrd0x su GitHub fornisce template HTML pronti che simulano finestre popup di autenticazione OAuth per diversi provider. Si tratta di puro HTML/CSS/JavaScript, facilmente integrabile in una landing page ospitata su qualsiasi web server.

La componente di tracking pixel si replica in modo semplice: basta incorporare un tag immagine 1x1 nel corpo HTML dell'email, puntato a un server sotto controllo. Con GoPhish questa funzionalità è nativa — ogni email inviata include un tracker per monitorare le aperture. Per un approccio manuale, un semplice web server Python basta a registrare le richieste GET in arrivo:

python3 -m http.server 8080

Il logging delle connessioni rivelerà IP, user agent e timestamp di ogni apertura.

Per il quishing, tool come QRCode Monkey (gratuito) generano QR code personalizzati contenenti l'URL di phishing, da incorporare poi nel template email come immagine. La catena completa per un test di quishing prevede: generazione del QR code, embedding nell'email HTML, e monitoraggio dei click sulla landing page tramite GoPhish.

Ricordate sempre: ogni simulazione richiede autorizzazione scritta esplicita, scope ben definito, e un meccanismo di debriefing per i dipendenti che interagiscono con l'email.

La detection diretta della fase di reconnaissance è intrinsecamente complessa — l'attaccante opera fuori dal perimetro — ma il SOC può intercettare segnali concreti nel momento in cui il link malevolo raggiunge le caselle di posta e, soprattutto, quando un utente interagisce con esso.

Il primo livello di difesa è l'analisi delle email in ingresso. Le piattaforme di email security come Microsoft Defender for Office 365 (a pagamento) e Proofpoint Email Protection (a pagamento) offrono URL detonation in sandbox e rewriting dei link. Per organizzazioni con budget limitato, la configurazione corretta di SPF, DKIM e DMARC resta fondamentale: una policy DMARC impostata su p=reject elimina gran parte dello spoofing diretto del dominio aziendale. Questi controlli non bloccano email provenienti da domini look-alike, ma l'analisi degli header — verificabile con regole SIEM — permette di individuare discrepanze tra envelope sender e display name.

Sul piano della network detection, i log DNS e i proxy web sono la fonte primaria. Configura alert per:

• Connessioni verso domini registrati da meno di 30 giorni (interrogando feed di newly registered domains)
• URL contenenti il pattern @ prima dell'hostname, indicatore di offuscamento schema
• Richieste verso domini con distanza di Levenshtein minima rispetto ai domini aziendali (typosquatting)
• Traffico HTTPS verso IP senza certificato valido o con certificato emesso da Let's Encrypt su domini sospetti

Per i tracking pixel, monitora nei log del mail gateway le richieste GET generate automaticamente dall'apertura email verso server esterni non categorizzati. Molti client email moderni bloccano il caricamento di immagini remote per default — verifica che questa configurazione sia applicata via policy GPO o MDM.

I log di Application Log sono particolarmente rilevanti per rilevare attacchi BitB e adversary-in-the-middle: un login legittimo su Microsoft 365 proveniente da un IP associato a un hosting provider, con un session cookie immediatamente riutilizzato da un altro IP geograficamente distante, è un indicatore forte. In Microsoft Entra ID (ex Azure AD), il log di Sign-ins con filtro su Risk Level = High e token replay detection copre questo scenario.

La gestione dei falsi positivi richiede pragmatismo. I domini appena registrati generano rumore significativo: crea una whitelist progressiva basata su business justification e integra threat intelligence feed da AlienVault OTX (gratuito) o Abuse.ch URLhaus (gratuito) per arricchire il contesto prima di escalare.

Poiché la tecnica opera nella fase pre-compromise, gli artefatti endpoint emergono solo dopo che la vittima ha interagito con il link. La ricostruzione forense si muove quindi su due direttrici: l'analisi dell'email originale e la tracciatura dell'interazione browser-side.

L'email sorgente è il primo reperto da acquisire. Il formato EML o MSG contiene gli header completi, inclusi i campi Received:, X-Originating-IP, Return-Path e i risultati di autenticazione SPF/DKIM/DMARC. In ambienti Microsoft 365, l'estrazione tramite eDiscovery o il cmdlet PowerShell Get-MessageTrace permette di ricostruire il percorso del messaggio e identificare tutti i destinatari colpiti dalla stessa campagna.

Per i tracking pixel, l'analisi del corpo HTML dell'email rivela tag <img> con dimensioni 1x1 o elementi con display:none che puntano a risorse esterne. L'URL del pixel contiene spesso un identificativo univoco per destinatario — correlarlo con i log del proxy web conferma se e quando il messaggio è stato aperto.

Sul lato endpoint, la cronologia del browser è l'artefatto principale. In Chrome, il file History (database SQLite nella directory del profilo utente) registra URL visitati, timestamp e referrer. Il comando per estrarne il contenuto con sqlite3 (open source, preinstallato su molte distribuzioni Linux):

sqlite3 ~/. config/google-chrome/Default/History "SELECT url, title, datetime(last_visit_time/1000000-11644473600,'unixepoch') FROM urls ORDER BY last_visit_time DESC LIMIT 50"

In Firefox, il file equivalente è places.sqlite. Su sistemi Windows, Hindsight (open source) è un tool specializzato per il parsing di artefatti Chrome e browser Chromium-based, capace di estrarre cronologia, download, cookie e dati dei form in un formato timeline-ready.

Per la ricostruzione della submission di credenziali, i dati dei form compilati possono persistere nei log del browser o nella cache. Il Web Cache di Windows (cartella WebCacheV01.dat per Internet Explorer/Edge Legacy) è analizzabile con ESEDatabaseView (gratuito) di NirSoft. Per Edge Chromium e Chrome, i dati POST non vengono memorizzati localmente in chiaro, ma la cache delle risorse può contenere frammenti della pagina di phishing.

La correlazione con i log DNS — idealmente raccolti tramite Sysmon (gratuito) con EventID 22 (DNS Query) — permette di mappare la risoluzione del dominio di phishing al timestamp preciso. Su Linux, se il logging DNS è configurato tramite systemd-resolved o un resolver locale, i log di journal contengono informazioni analoghe.

Infine, le fonti OSINT esterne completano il quadro. I database di WHOIS storico (servizi come DomainTools, a pagamento, o WhoisFreaks, freemium) rivelano data di registrazione e registrant del dominio malevolo. I Certificate Transparency logs consultabili tramite crt.sh (gratuito) mostrano tutti i certificati emessi per quel dominio, spesso rivelando infrastruttura correlata.

Con 15 gruppi documentati, T1598.003 è una delle tecniche di reconnaissance più trasversali in termini di attribuzione geografica e obiettivi settoriali. L'analisi dei cluster rivela pattern operativi distinti che aiutano la profilazione predittiva.

APT28 (Russia) impiega campagne di credential phishing massicce con redirect verso siti di harvesting, tipicamente mirati a organizzazioni governative e think tank occidentali. Il pattern operativo è diretto: email con pretesto urgente, link a portale di login clonato, raccolta credenziali. Star Blizzard (anch'esso attribuito a interessi russi) adotta invece un approccio più paziente, costruendo un rapporto epistolare con il target prima di inviare il link malevolo — un modello di social engineering a più fasi che suggerisce operazioni di intelligence strategica piuttosto che accesso opportunistico. Sandworm Team completa il trittico russo con spearphishing mirato al furto di credenziali, coerente con il suo profilo di attore orientato a operazioni distruttive contro infrastrutture critiche.

Il cluster iraniano presenta una concentrazione notevole. Magic Hound si distingue per l'uso multicanale — SMS ed email — per il credential harvesting e il tracking delle vittime, indicando capacità HUMINT integrate con operazioni cyber. CURIUM punta su risorse adversary-controlled per l'harvesting, mentre Kimsuky (Corea del Nord) utilizza web beacon per la profilazione dei target prima dell'invio del payload effettivo, dimostrando un approccio a due stadi — ricognizione con beacon, poi phishing mirato.

Il quadrante Asia-Pacifico è rappresentato da Sidewinder (India), Mustang Panda (Cina) e Patchwork (India). Mustang Panda e Patchwork condividono una peculiarità: l'uso di web bug per la profilazione dei destinatari, senza necessariamente procedere all'harvesting diretto. Questo suggerisce che per questi gruppi T1598.003 è primariamente uno strumento di intelligence gathering piuttosto che un vettore di accesso.

Scattered Spider merita attenzione separata: gruppo a motivazione finanziaria, utilizza portali corporate clonati con tecniche di social engineering estremamente convincenti. A differenza degli APT state-sponsored, opera con cicli rapidissimi e targeting opportunistico.

Il trend emergente è l'evoluzione verso tecniche anti-MFA: kit come EvilProxy e Evilginx2 rendono l'adversary-in-the-middle accessibile anche ad attori meno sofisticati. Per il TI officer, questo significa che la mera presenza di MFA non è più sufficiente come indicatore di resilienza — le organizzazioni target devono essere valutate sulla base dell'implementazione di MFA phishing-resistant (FIDO2/WebAuthn). Il quishing rappresenta un'ulteriore evoluzione, spostando il vettore di attacco verso dispositivi mobili con superfici di controllo ridotte.

Il software AADInternals (tool) è documentato come strumento per l'invio di email con link di phishing verso ambienti Azure AD, mentre SMOKEDHAM (malware) viene distribuito proprio tramite link in email di spearphishing, rappresentando il payload finale di questa catena.

Framework MITRE ATT&CK: T1598.003, TA0043. Mitigazioni: M1017 (User Training), M1054 (Software Configuration). Software: S0677 (AADInternals), S0649 (SMOKEDHAM). Detection: Application Log, Network Traffic. Integrato con conoscenza professionale per tool e procedure operative.