Netcrook Logo
👤 PHANTOMINTEGRITY
🗓️ 07 Sep 2025   🗂️ Cyber Warfare    

Orso nella Posta: la furtiva backdoor “NotDoor” dell’APT28 russo prende di mira Outlook

Nuove ricerche rivelano che l’APT28 russo sta introducendo malware avanzati nelle aziende della NATO sfruttando Microsoft Outlook, usando email quotidiane come copertura per lo spionaggio.

In breve

  • APT28, un gruppo sostenuto dallo Stato russo, sta distribuendo una nuova backdoor basata su Outlook chiamata NotDoor.
  • NotDoor si nasconde all’interno di Outlook come macro, attivata da frasi specifiche nelle email come “Daily Report”.
  • Gli aggressori sfruttano una vulnerabilità in OneDrive.exe per aggirare la sicurezza e installare il malware.
  • I dati rubati vengono criptati, camuffati da file comuni e inviati via email per un’esfiltrazione furtiva.
  • Ricercatori di Lab52, Kroll e altri avvertono che questa tecnica si confonde perfettamente con le normali comunicazioni aziendali.

Il Cavallo di Troia reinventato: Outlook come porta d’accesso dello spionaggio

Immagina la tua casella di posta in ufficio: il flusso quotidiano di report, fatture e aggiornamenti. Ora immagina un gruppo di cyber-spionaggio, sponsorizzato dal governo russo, nascosto in quella casella - che legge, ruba e controlla, tutto mentre si mimetizza tra le normali attività aziendali. Questa è la realtà inquietante dietro NotDoor, un malware backdoor scoperto dal Lab52 di S2 Grupo e ora confermato da Kroll, che prende di mira aziende negli stati membri della NATO.

Come NotDoor supera le difese

NotDoor è l’ultimo strumento nell’arsenale dell’APT28 (noto anche come Fancy Bear o STRONTIUM), ed è un vero capolavoro di furtività. A differenza dei malware tipici che arrivano come allegati sospetti, NotDoor viene distribuito tramite un ingegnoso trucco tecnico: l’abuso del file OneDrive.exe di Microsoft, considerato affidabile. Gli aggressori introducono di nascosto un file helper dannoso (SSPICLI.dll), che disabilita la sicurezza delle macro di Outlook e installa silenziosamente la backdoor.

Una volta all’interno, NotDoor si annida come macro nascosta in Outlook. Attende pazientemente, scansionando le email in arrivo alla ricerca di una frase segreta come “Daily Report”. Quando viene attivato, può eseguire comandi, caricare o rubare file e persino inviare dati criptati ai suoi controllori - il tutto camuffato da normali comunicazioni aziendali. Il malware cancella le proprie tracce eliminando sia l’email di attivazione sia i file esfiltrati.

Living Off the Land: vecchi trucchi, nuovi obiettivi

Questa campagna è un esempio da manuale di “living-off-the-land”, spiegano i ricercatori di Kroll - ovvero l’uso di strumenti aziendali legittimi per nascondere attività malevole. Confondendosi con le normali funzioni di Outlook, NotDoor si mimetizza, rendendo la rilevazione da parte dei tradizionali strumenti di sicurezza estremamente difficile. La backdoor sfrutta comandi PowerShell codificati e codice offuscato, così che anche i difensori più esperti fanno fatica a individuarla nel rumore di fondo.

Non è la prima volta per l’APT28. Il gruppo vanta una lunga storia di attacchi a governi e organizzazioni occidentali, dagli attacchi alle elezioni USA del 2016 alle offensive in corso contro gruppi europei di difesa e policy. Ma l’uso delle macro di Outlook come canale di comunicazione segreto rappresenta un salto di qualità nella furtività, riecheggiando tattiche già viste in altre campagne di spionaggio globale, come il gruppo Gamaredon cinese, che sfrutta in modo simile strumenti cloud e di sviluppo comuni per il comando e controllo.

Implicazioni e difese

Le implicazioni sono gravi: il software aziendale di fiducia diventa ora un’arma. Esperti di sicurezza come Jason Soroko di Sectigo invitano le organizzazioni a disabilitare le macro di Outlook, bloccare DLL rischiose e monitorare attività PowerShell sospette. Ma la lezione più ampia è amara: le difese perimetrali non bastano più quando gli aggressori trasformano in armi gli strumenti che i dipendenti usano ogni giorno.

Conclusione: quando ogni email può essere una trappola

La campagna NotDoor è un segnale d’allarme per il mondo aziendale: il confine tra operatività ordinaria e spionaggio è più sfumato che mai. Mentre gli aggressori si insinuano nel cuore delle comunicazioni quotidiane, vigilanza e sicurezza stratificata e adattiva diventano non solo best practice, ma necessità. Nell’era delle minacce invisibili, anche l’email più banale può essere una porta segreta per le spie.

WIKICROOK

  • APT28: APT28, o Fancy Bear, è un gruppo di hacker sostenuto dallo Stato russo noto per il cyber-spionaggio contro governi e organizzazioni occidentali.
  • Macro di Outlook: Una macro di Outlook è un piccolo programma in Microsoft Outlook che automatizza compiti, ma può anche essere sfruttato per diffondere malware se usato in modo improprio.
  • DLL Sideloading: Il DLL sideloading si verifica quando gli aggressori ingannano programmi affidabili affinché carichino file helper dannosi (DLL) invece di quelli legittimi, consentendo attacchi nascosti.
  • PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma spesso sfruttato dagli aggressori per compiere azioni malevole in modo furtivo.
  • Offuscamento: L’offuscamento è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare sia per gli umani che per gli strumenti di sicurezza.
PHANTOMINTEGRITY PHANTOMINTEGRITY
Incident Response Commander
← Back to news