Nel 2025, il gruppo APT29, noto anche come Cozy Bear o Midnight Blizzard, legato all’intelligence russa,è tornato a colpire con una sofisticata campagna di phishing mirata contro ministeri degli affari esteri e ambasciate europee. La nuova operazione, scoperta da Check Point Research, mostra un’evoluzione significativa nelle tecniche d’inganno e nei malware utilizzati.
Nuovi strumenti: GRAPELOADER e WINELOADER
La novità più rilevante riguarda l’uso di due strumenti malevoli:
- GRAPELOADER: un loader iniziale impiegato per raccogliere informazioni, garantire persistenza nel sistema e scaricare payload aggiuntivi.
- WINELOADER (variante aggiornata): una backdoor modulare già nota nei precedenti attacchi di APT29, ora migliorata per consentire un controllo ancora più preciso sui sistemi compromessi.
La catena d’infezione
La campagna, attiva da gennaio 2025, si distingue per l’uso di e-mail ben confezionate che imitano comunicazioni ufficiali di un noto Ministero degli Esteri europeo. Le vittime ricevono falsi inviti a eventi di degustazione di vini. Al click sull’invito, viene in realtà avviata la catena d’infezione.
Nella fattispecie l’e-mail contiene un link dannoso verso un falso sito che, sotto certe condizioni, attiva il download di un archivio ZIP (wine.zip), altrimenti reindirizza le vittime al sito web legittimo del Ministero in oggetto. L’archivio contiene un eseguibile (wine.exe), un file DLL (Subsystem64.dll) necessario per caricare tramite sideloading il payload dannoso GRAPELOADER (ppcore.dll). Il malware una volta in esecuzione contatta il server di comando e controllo C2 (ophibre[.]com), per distribuire WINELOADER nelle fasi successive dell’attacco.
Obiettivi strategici e implicazioni
Gli attacchi sono chiaramente mirati e colpiscono agenzie diplomatiche di diversi Paesi europei, con l’obiettivo probabile di raccogliere informazioni strategiche e influenzare dinamiche geopolitiche. Il ritorno di APT29 conferma come gli attori nation-state restino altamente attivi nel cyber spionaggio, adattando continuamente le loro tecniche per sfuggire al rilevamento. La campagna evidenzia inoltre la necessità di una formazione costante del personale, specialmente in ambito governativo e diplomatico, sulle tecniche di social engineering sempre più sofisticate. Allo stesso tempo, i team di sicurezza devono preoccuparsi di aggiornare continuamente le loro difese per fronteggiare minacce avanzate e persistenti come quelle portate avanti da APT29.
