Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
APT28 colpisce energia e nucleare: phishing invisibile ruba credenziali e reindirizza ai siti legittimi
Una nuova campagna di furto credenziali è stata collegata al gruppo APT28, noto anche come BlueDelta, con obiettivi mirati in ambiti sensibili come energia, ricerca nucleare e organizzazioni di policy. Le vittime includono persone legate a una agenzia turca di ricerca energetica e nucleare, personale di un think tank europeo e realtà in Macedonia del Nord e Uzbekistan.
La scelta di esche in lingua turca e materiali contestualizzati per area geografica indica un lavoro di personalizzazione pensato per aumentare la credibilità delle comunicazioni e migliorare il tasso di successo del phishing.
La tecnica principale è il credential harvesting tramite pagine di login false che imitano servizi molto usati in contesti aziendali, tra cui Microsoft Outlook Web Access, Google e portali VPN Sophos. Un elemento che rende la campagna più insidiosa è il reindirizzamento automatico verso i siti legittimi dopo l’inserimento delle credenziali nella pagina contraffatta. In questo modo l’utente può non accorgersi dell’anomalia, riducendo i segnali di allarme e rendendo più difficile la rilevazione immediata da parte dei team di sicurezza.
Per ospitare le pagine di phishing, gestire la raccolta dati e orchestrare i reindirizzamenti, gli attaccanti hanno abusato di servizi e infrastrutture legittime come Webhook.site, InfinityFree, Byet Internet Services e ngrok. Questa scelta consente di creare ambienti “usa e getta”, rapidi da attivare e difficili da bloccare in modo definitivo, sfruttando domini e piattaforme che possono apparire innocue nei controlli superficiali.
La catena di attacco descritta include email di phishing con link abbreviati che portano a un primo passaggio su webhook, dove viene mostrato per pochi secondi un documento esca, spesso un PDF reale pubblicato da organizzazioni legittime. Subito dopo, la vittima viene indirizzata a una seconda pagina che replica il login Microsoft OWA. All’interno, un elemento HTML nascosto e script JavaScript inviano un segnale di apertura pagina, trasmettono le credenziali inserite a un endpoint webhook e infine riportano l’utente al PDF sul sito autentico, aumentando la plausibilità dell’interazione.
Sono state osservate anche varianti della campagna con falsi reset password Sophos VPN e Google, con esfiltrazione dei dati tramite ngrok e reindirizzamenti verso portali reali di organizzazioni bersaglio. Il quadro evidenzia come il furto credenziali resti una strategia a basso costo e alto rendimento, particolarmente efficace contro enti collegati a ricerca energetica, cooperazione difensiva e reti di comunicazione governative.