Mercenary Akula espande la sua rete: il gruppo cyber russo si infiltra nei circoli finanziari europei

Tutto è iniziato con un’email apparentemente innocua - legale, ufficiale, urgente. Ma dietro la patina della burocrazia si nascondevano le impronte digitali di un gruppo di cybercriminali esperto, noto per le sue campagne incessanti in Ucraina. Questa volta, però, il loro sguardo era puntato su un nuovo bottino: un’istituzione finanziaria europea coinvolta negli sforzi di ricostruzione dell’Ucraina. L’attacco ha segnato una gelida espansione delle operazioni cyber allineate alla Russia oltre i consueti campi di battaglia dell’Europa orientale, fino al cuore dell’infrastruttura finanziaria occidentale.

Dentro l’attacco: anatomia di un colpo digitale

L’operazione è partita con un’email di spear-phishing accuratamente confezionata, che imitava un legittimo organismo giudiziario ucraino. Il destinatario - un consulente senior in ambito legale e di policy, a conoscenza di processi sensibili di approvvigionamento e finanziari - veniva indirizzato a scaricare un file ZIP apparentemente innocuo da un servizio di condivisione file legittimo, PixelDrain. Era il primo passo di una sofisticata catena di infezione progettata per eludere i controlli di sicurezza tradizionali.

All’interno del file ZIP, gli attaccanti avevano annidato un archivio RAR contenente un file 7-Zip protetto da password. Il payload finale, camuffato con una doppia estensione (“.pdf.exe”), eseguiva un installer MSI per Remote Manipulator System (RMS), uno strumento di desktop remoto di produzione russa. Utilizzando RMS - software pensato per la legittima amministrazione remota - gli attaccanti hanno ottenuto un accesso persistente e furtivo, aggirando molte difese antivirus: una tattica nota come “living off the land”.

Questo approccio rispecchia il copione consolidato di UAC-0050. In passato, il gruppo ha distribuito strumenti come LiteManager e RemcosRAT in attacchi contro contabili e responsabili finanziari ucraini. Ma quest’ultima campagna segnala un cambiamento preoccupante: le organizzazioni dell’Europa occidentale, soprattutto quelle che sostengono l’Ucraina, sono ora nel mirino.

UAC-0050, noto anche come Mercenary Akula, è stato identificato dal Computer Emergency Response Team ucraino come un gruppo mercenario legato alle forze dell’ordine russe. Le loro operazioni mescolano furto di dati, criminalità finanziaria e guerra psicologica - talvolta sotto l’etichetta “Fire Cells”. L’espansione verso ovest del gruppo trova eco in mosse analoghe di altri attori di minaccia russi, tra cui APT29 (“Cozy Bear”), che ha intensificato le campagne di phishing contro ONG ed entità legali in diversi Stati NATO, alla ricerca di intelligence e influenza.

Conclusione: la linea del fronte si allarga

Man mano che i confini tra conflitto fisico e digitale si fanno più sfumati, l’incursione di Mercenary Akula nell’Europa occidentale è un monito netto: sostenere l’Ucraina comporta rischi cyber globali, persistenti e sempre più sofisticati. Per le istituzioni in prima linea negli aiuti e nella ricostruzione, la vigilanza non è più facoltativa - è una questione di sopravvivenza.

WIKICROOK

• Spear: Lo spear phishing è un attacco informatico mirato che usa email personalizzate per ingannare specifiche persone o organizzazioni e indurle a rivelare informazioni sensibili.
• Dominio falsificato: Un dominio falsificato è un indirizzo web finto fatto per sembrare reale, usato dagli attaccanti per ingannare gli utenti e rubare informazioni sensibili.
• Strumento di accesso remoto (RAT): Un Remote Access Tool (RAT) è un software che consente a qualcuno di controllare un computer a distanza, usato sia per supporto legittimo sia per attacchi informatici malevoli.
• Living off the land: Living Off the Land significa che gli attaccanti usano strumenti di sistema affidabili e già presenti per scopi malevoli, rendendo le loro attività più difficili da rilevare.
• Trucco della doppia estensione: Il trucco della doppia estensione camuffa il malware dando ai file due estensioni, come “.pdf.exe”, facendoli apparire agli utenti come documenti innocui.