Netcrook Logo
👤 WHITEHAWK
🗓️ 26 Nov 2025   🌍 North America

Aggiornamenti del Browser o Cavalli di Troia? Hacker Russi Trasformano Avvisi di Routine in Agguati Informatici

Attori legati alla Russia stanno sfruttando falsi aggiornamenti del browser, fondendo due note operazioni malware in un nuovo audace attacco contro obiettivi ingegneristici statunitensi.

In Breve

  • Il gruppo RomCom, allineato con la Russia, ha utilizzato falsi popup di aggiornamento per diffondere il malware SocGholish.
  • Prima collaborazione documentata tra SocGholish e RomCom, con obiettivo una società statunitense legata all’Ucraina.
  • Gli aggressori hanno ottenuto accesso remoto in pochi minuti, distribuendo backdoor avanzate e tattiche anti-rilevamento.
  • SocGholish opera come Malware-as-a-Service, spesso al servizio di gruppi ransomware.
  • Gli esperti collegano l’operazione all’Unità 29155 del GRU russo, nota per il cyber-spionaggio distruttivo.

Quando un Click Diventa una Catastrofe

È iniziato come tante violazioni: un popup che sollecitava un aggiornamento di routine del browser. Ma per una società di ingegneria statunitense, un solo click ha aperto la porta a una sofisticata campagna di cyber-spionaggio russa - che secondo gli esperti segna un nuovo capitolo nella guerra digitale contro organizzazioni collegate all’Ucraina.

L’Anatomia di un Attacco Ingannevole

Secondo Arctic Wolf Labs, nel settembre 2025 il gruppo RomCom - sostenuto dall’intelligence militare russa - ha collaborato con i famigerati operatori del malware SocGholish. Il loro metodo? Violare siti web legittimi per iniettare silenziosamente codice malevolo, che poi mostrava falsi avvisi di aggiornamento del browser agli ignari dipendenti. In soli dieci minuti dal download, un programma “loader” furtivo chiamato Mythic Agent ha concesso agli aggressori accesso remoto, preparando il terreno per un’esfiltrazione più profonda.

Le tattiche tecniche erano sia avanzate che subdole: codice criptato, routine anti-rilevamento e una backdoor basata su Python chiamata VIPERTUNNEL. Gli aggressori hanno utilizzato comandi PowerShell mascherati per eludere gli strumenti di sicurezza e hanno verificato se il computer infetto appartenesse all’obiettivo designato prima di rilasciare il payload completo - un livello di precisione che indica pianificazione accurata e targeting di alto valore.

Dal Malware-as-a-Service ad Arma Geopolitica

SocGholish, noto per vendere l’accesso a macchine compromesse a gruppi criminali come Evil Corp e LockBit, si è evoluto in una piattaforma di lancio per lo spionaggio sponsorizzato dallo Stato. Questo attacco è il primo caso documentato in cui RomCom distribuisce i propri payload tramite l’infrastruttura di SocGholish, fondendo motivazioni criminali e geopolitiche. L’operazione porta le impronte dell’Unità 29155 del GRU russo, famosa per aver orchestrato attacchi informatici contro entità che supportano l’Ucraina dal 2022.

Questo modello ibrido - che offre “malware-as-a-service” sia a criminali che a spie - rappresenta un rischio crescente. Attacchi simili negli ultimi anni hanno utilizzato falsi aggiornamenti come esca, ma mai con un passaggio di consegne così coordinato tra due grandi gruppi di minaccia. Questa convergenza solleva lo spettro di ransomware o furto di dati subito dopo l’infezione iniziale, e sottolinea la necessità per le organizzazioni di trattare ogni rilevamento di SocGholish come una potenziale crisi.

Lezioni dalla Prima Linea

L’azione rapida di piattaforme di sicurezza come Aurora di Arctic Wolf è stata fondamentale in questo caso - mettendo in quarantena il sistema infetto prima che l’attacco potesse diffondersi. Ma il messaggio è chiaro: anche le abitudini digitali più comuni, come aggiornare il software, possono essere trasformate in armi. Mentre i confini tra cybercriminalità e cyber-guerra si fanno sempre più sfumati, vigilanza e risposta rapida sono più vitali che mai.

In un’epoca in cui un click innocente può scatenare un incidente geopolitico, le organizzazioni devono ripensare le proprie difese. Il prossimo avviso di aggiornamento del browser che vedrete potrebbe non essere ciò che sembra.

WIKICROOK

  • SocGholish: SocGholish è un malware che inganna gli utenti con falsi avvisi di aggiornamento del browser, inducendoli a installare software dannoso ed esponendo i sistemi a minacce informatiche.
  • Loader: Un loader è un software malevolo che installa o esegue altri malware su un sistema infetto, abilitando ulteriori attacchi informatici o accessi non autorizzati.
  • Command: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a compiere azioni specifiche, talvolta per scopi dannosi.
  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
  • PowerShell: PowerShell è uno strumento di scripting per Windows utilizzato per l’automazione, ma spesso sfruttato dagli aggressori per compiere azioni malevole in modo furtivo.
Russian Hackers Cyber Espionage SocGholish
WHITEHAWK WHITEHAWK
Cyber Intelligence Strategist
← Back to news