Nuova operazione di ciberespionaggio colpisce obiettivi ucraini
Un gruppo hacker legato alla Russia ha condotto un’operazione di spionaggio informatico contro istituzioni ucraine utilizzando software malevolo camuffato da dati della fondazione benefica ‘Povernis Zhyvym’ (Tornare Vivi) e di verifica dei terminali internet satellitari Starlink. L’attacco, scoperto a febbraio e reso noto nei giorni scorsi, impiega un backdoor denominato DrillApp che consente agli aggressori di caricare e scaricare file dai computer infetti, registrare audio attraverso il microfono e catturare immagini dalla webcam. Secondo un rapporto della società di cybersecurity Lab52, la campagna rappresenta un’evoluzione nelle tattiche di inganno utilizzate dai gruppi affiliati al Cremlino.
La minaccia si concentra principalmente su organizzazioni ucraine, ma i ricercatori hanno rilevato attività della stessa gruppo anche contro paesi membri della NATO. Il team di risposta alle emergenze informatiche ucraino CERT-UA aveva già segnalato all’inizio del 2026 un’operazione separata mirata alle forze armate del paese, utilizzando esche simili a tema umanitario e sfruttando servizi pubblici di condivisione di testo per distribuire componenti malevoli.
Nell’ultima campagna, i malintenzionati hanno utilizzato dati che simulavano richieste provenienti dalla fondazione ucraina ‘Povernis Zhyvym’, organizzazione che supporta le forze armate, insieme a informazioni relative alla verifica dei terminali Starlink. L’Ucraina aveva implementato un sistema di verifica per questi terminali all’inizio di febbraio dopo che le autorità avevano confermato come le forze russe avessero iniziato a installare questa tecnologia sui droni d’attacco.
Una volta aperto tramite il browser Microsoft Edge, il file malevolo consente agli aggressori di accedere al sistema di file della vittima, catturare audio dal microfono, video dalla camera e registrazioni dello schermo del dispositivo. I ricercatori sottolineano come i browser web siano diventati un vettore di attacco preferito poiché dispongono tipicamente di accesso legittimo a funzioni sensibili del dispositivo, complicando notevolmente il rilevamento dell’attività malevola.
La tecnica dell’inganno filantropico
L’utilizzo dell’identità della fondazione ‘Povernis Zhyvym’ rappresenta una significativa escalation nell’approccio psicologico degli hacker russi. La organizzazione benefica gode di ampia fiducia tra la popolazione ucraina per il suo supporto alle truppe al fronte, rendendo particolarmente insidiosa questa forma di inganno. Gli aggressori sfruttano così sentimenti patriottici e solidali per ottenere accesso a sistemi sensibili.
Questa strategia dimostra come il conflitto si sia esteso ben oltre il campo di battaglia fisico, colpendo direttamente la società civile ucraina. Il tentativo di minare la fiducia nelle iniziative di volontariato rappresenta un elemento della più ampia guerra ibrida condotta dalla Russia, che mira a indebolire la coesione sociale del paese bersaglio.
I ricercatori di Lab52 hanno identificato due versioni del software malevolo utilizzate nell’operazione, differenziate principalmente per le esche impiegate per ingannare le vittime. Il malware sembra trovarsi ancora in una fase iniziale di sviluppo, indicando che gli aggressori stanno sperimentando nuovi metodi per eludere le difese di sicurezza.
La scelta di utilizzare temi umanitari per distribuire software di spionaggio evidenzia l’assenza di qualsiasi confine etico nelle operazioni informatiche legate al Cremlino. Le iniziative umanitarie diventano così un ulteriore territorio di caccia nella guerra cibernetica che accompagna il conflitto armato.
Il legame con l’intelligence militare russa
I ricercatori attribuiscono l’operazione al gruppo hacker noto come Laundry Bear, anche identificato come Void Blizzard, attivo almeno dal 2024 e specializzato in campagne di ciberespionaggio. L’analisi delle tattiche, tecniche e procedure rivela significative somiglianze con quelle impiegate dal gruppo di intelligence militare russo APT28, meglio conosciuto come Fancy Bear.
Questa connessione conferma il carattere statale delle operazioni, dimostrando che non si tratta di ‘hacker liberi’ ma di attività coordinate nell’ambito della politica estera e di sicurezza della Russia. Microsoft aveva precedentemente segnalato come il gruppo avesse penetrato con successo organizzazioni in diversi settori ucraini, inclusi istruzione, trasporti e difesa.
Laundry Bear è stata descritta come una entità che utilizza ‘tecniche relativamente semplici ma difficili da rilevare’, concentrandosi prevalentemente sullo spionaggio informatico. La loro metodologia include l’uso di servizi cloud pubblici e piattaforme di condivisione legittime per ospitare componenti malevoli, rendendo più complessa l’attribuzione e il contrasto.
La continuità tra le operazioni di gruppi come APT28 e queste nuove entità evidenzia come lo spionaggio informatico sia diventato una componente strutturale della macchina militare e di intelligence russa, integrata organicamente nelle strategie di influenza ibrida del Cremlino.
Minaccia per la sicurezza europea
Le attività di Laundry Bear non si limitano al teatro ucraino ma includono attacchi a paesi membri della NATO, costituendo un chiaro segnale di allarme per l’Occidente. L’Ucraina funge contemporaneamente da scudo e da campo di prova per tecniche che potrebbero successivamente essere impiegate contro infrastrutture critiche europee.
La scelta di sfruttare tecnologie occidentali come browser e piattaforme di comunicazione come ‘cavalli di Troia’ evidenzia vulnerabilità sistemiche che trascendono i confini nazionali. L’utilizzo di browser legittimi come Microsoft Edge per bypassare gli antivirus sottolinea la necessità per i giganti tecnologici di rispondere più rapidamente alle vulnerabilità nei loro prodotti.
Gli attacchi che simulano sistemi di verifica, come nel caso di Starlink, dimostrano che la semplice presenza di software antivirus non costituisce una difesa sufficiente. Le istituzioni europee e ucraine devono implementare protocolli di igiene digitale più rigorosi, particolarmente in settori sensibili come la difesa e le infrastrutture critiche.
La capacità degli aggressori di sfruttare funzionalità legittime dei browser per accedere a microfoni, telecamere e sistemi di registrazione dello schermo rappresenta una sfida significativa per i tradizionali sistemi di rilevamento, richiedendo approcci di sicurezza più sofisticati e multilivello.
La risposta tecnologica e la collaborazione internazionale
Il fatto che il software di spionaggio si trovi ancora in una ‘fase iniziale di sviluppo’ e sia costantemente modificato indica che la Russia continua a investire risorse nello sviluppo di nuovi metodi per eludere le difese. Questa evoluzione continua rappresenta una caratteristica distintiva della guerra ibrida condotta nel cyberspazio europeo.
La collaborazione operativa tra il CERT-UA, ricercatori occidentali come Lab52 e Microsoft, e le strutture europee di cybersecurity si rivela fondamentale per identificare tempestivamente queste minacce. Solo attraverso lo scambio di intelligence e il coordinamento transnazionale è possibile contrastare efficacemente campagne di questa natura prima che causino danni strategici.
La comunità internazionale della sicurezza informatica deve sviluppare meccanismi più rapidi per condividere indicatori di compromesso e analisi delle minacce, particolarmente quando coinvolgono gruppi statali. La natura transfrontaliera degli attacchi richiede risposte altrettanto coordinate a livello internazionale.
L’episodio evidenzia inoltre la necessità di maggiori investimenti in formazione e consapevolezza del personale delle istituzioni sensibili, che rappresenta spesso la prima linea di difesa contro attacchi di ingegneria sociale sofisticati come quelli impiegati in questa campagna.
