I ricercatori di Proofpoint, azienda leader nella cybersecurity e compliance, hanno messo in luce una sorprendente sovrapposizione tra i cluster di due attori di minaccia, TA829 e UNK_GreenSec. Questa attività, individuata in una campagna che sfuma i confini tra spionaggio e attività cybercriminale, solleva interrogativi cruciali sulla natura delle minacce odierne.
L’analisi di Proofpoint ha rivelato che questa campagna si avvale di infrastrutture, tattiche di distribuzione e componenti malware condivisi, suggerendo una potenziale collaborazione o l’utilizzo di risorse comuni all’interno del panorama criminale sotterraneo.
Tra i principali risultati della ricerca:
- TA829: un attore ibrido. Questo gruppo conduce sia campagne cybercriminali a scopo di lucro sia operazioni di spionaggio allineate agli interessi statali russi. TA829 utilizza strumenti personalizzati come la backdoor RomCom e il malware DustyHammock.
- UNK_GreenSec: nuovo attore con legami ransomware. È stata osservata l’attività di un nuovo cluster di malware, denominato UNK_GreenSec, che ha dispiegato un nuovo loader e una backdoor chiamata TransferLoader. Questo malware è stato collegato a infezioni ransomware, incluso Morpheus.
- Sovrapposizione infrastrutturale e tattica. Entrambi gli attori si affidano a router MikroTik compromessi (nodi REM Proxy) per la distribuzione di email, utilizzano catene di reindirizzamento simili e effettuano lo spoofing di pagine di destinazione di OneDrive/Google Drive. Tuttavia, le loro catene di infezione divergono nella fase del payload.
“Si tratta di risultati che suggeriscono possibili relazioni tra i gruppi, che vanno dalla condivisione di fornitori di infrastrutture di terze parti, a una collaborazione diretta, o persino all’ipotesi che si tratti di un singolo attore che testa nuovi strumenti”, spiegano i ricercatori di Proofpoint.
