Il gruppo di cybercriminali chiamato APT29, ma conosciuto anche col nome Cozy Bear, legato al governo di Mosca, è dietro una nuova ondata di attacchi di phishing ai danni di diplomatici europei, che ancora una volta mira a sfruttare la loro inclinazione culturale al consumo di vino per diffondere un nuovo malware backdoor.
Il nuovo attacco è simile nelle modalità alla campagna WineLoader dello scorso anno. Utilizza, infatti, le email per invitare i destinatari a degustazioni di vino, nel tentativo di indurli a cliccare su link dannosi, come hanno rivelato i ricercatori di Check Point Research in un rapporto appena pubblicato. Tuttavia, questa volta sono due gli elementi di novità : il pubblico di riferimento e il malware in agguato nel back-end della campagna.
In questa attuale ondata di attacchi, gli autori della minaccia si sono spacciati per un importante Ministero degli Affari Esteri europeo al fine di inviare inviti a degustazioni di vino, inducendo le vittime a cliccare su un link web che ha portato all’installazione di una nuova backdoor chiamata “GrapeLoader“. Questa campagna sembra concentrarsi sulle entità diplomatiche europee, comprese le ambasciate di paesi extraeuropei situate in Europa.
Nello specifico sono state inviate diverse email che presentavano oggetto come “Evento di degustazione vini” e “Cena diplomatica” e ciascuna conteneva un link dannoso che, una volta cliccato, scaricava un file chiamato wine.zip, contenente tre file: un eseguibile di PowerPoint legittimo chiamato wine.exe, una dll nascosta necessaria per l’esecuzione dell’eseguibile di PowerPoint e un’altra nascosta e fortemente offuscata chiamata GrapeLoader. Secondo Check Point, quest’ultimo file è quello che in ultima analisi fornisce il payload di GrapeLoader e «probabilmente viene utilizzato anche per distribuire WineLoader nelle fasi successive dell’attacco». Check Point starebbe monitorando la campagna di attacchi da gennaio scorso. Come riportato anche da Politico, il ricercatore di Check Point Research Sergey Shykevich si è rifiutato di rivelare quale Ministero degli Esteri fosse stato impersonato dagli hacker, limitandosi a dire che si trattava di «uno dei più importanti» dell’Unione Europea.
Lo scorso anno lo stesso team di pirati informatici attaccò, quasi con le medesime modalità, un gruppo di politici tedeschi utilizzando un malware dal nome Wineloader. Il 26 febbraio 2024 il malware fu usato per colpire i partiti politici tedeschi con email di phishing contenenti il logo dell’Unione Cristiano-Democratica (CDU). L’attacco sfruttava email di phishing con contenuto esca in lingua tedesca che si spacciava per un invito a una cena per indurre i destinatari a cliccare su un link fasullo e scaricare il pericoloso file.
APT29, probabilmente la rete di cybercriminali più noti al mondo, è famosa per aver preso di mira organizzazioni di alto profilo, tra cui agenzie governative e think tank. Le sue operazioni spaziano da campagne di phishing mirate ad attacchi di alto profilo alla supply chain, utilizzando malware sia personalizzati che commerciali; ad esempio, il gruppo è stato dietro l’ormai famigerato e diffuso attacco alla supply chain di SolarWinds, società statunitense che sviluppa software per la gestione di infrastrutture informatiche.
© Gambero Rosso SPA 2025
P.lva 06051141007 Codice SDI: RWB54P8 Gambero Rosso registrazione n. 94/2021 Tribunale di Roma
Modifica impostazioni cookie
Privacy: Responsabile della Protezione dei dati personali – Gambero Rosso S.p.A. – via Ottavio Gasparri 13/17 – 00152, Roma, email: [email protected]
Resta aggiornato sulle novità del mondo dell’enogastronomia! Iscriviti alle newsletter di Gambero Rosso.
© Gambero Rosso SPA – Tutti i diritti riservati.
Made with love by Programmatic Advertising Ltd
Made with love by Programmatic Advertising Ltd
© Gambero Rosso SPA – Tutti i diritti riservati
