Image by Monique Carrati, from Unsplash
Hacker prendono di mira i diplomatici dell’UE con false inviti a eventi enologici
Tempo di lettura: 3 Min.
Ultimo aggiornamento: Apr 17, 2025
-
![Kiara Fabbri]()
-
![Il team di localizzazione e traduzione]()
Tradotto da Il team di localizzazione e traduzione Servizi di localizzazione e traduzione
Hacker russi che si spacciavano per funzionari dell’UE hanno attirato i diplomatici con inviti a degustazioni di vino finte, utilizzando il malware furtivo GRAPELOADER in una campagna di spionaggio in continua evoluzione.
Hai fretta? Ecco i fatti rapidi:
- APT29 prende di mira i diplomatici dell’UE con email di phishing mascherate da inviti a eventi enologici.
- GRAPELOADER utilizza tattiche più furtive rispetto ai malware precedenti, incluse migliorie anti-analisi.
- Il malware esegue codici nascosti tramite il caricamento laterale della DLL in un file PowerPoint.
I ricercatori di cybersecurity hanno scoperto una nuova ondata di attacchi phishing portati avanti dal gruppo di hacker collegati alla Russia APT29, noto anche come Cozy Bear. La campagna, segnalata da Check Point, prende di mira i diplomatici europei ingannandoli con falsi inviti a eventi di degustazione di vini diplomatici.
L’indagine ha scoperto che gli aggressori si sono spacciati per un Ministero degli Affari Esteri europeo ed hanno inviato ai diplomatici inviti che sembravano ufficiali. Le email contenevano link che, una volta cliccati, portavano al download di un malware nascosto in un file chiamato wine.zip.
Questo file installa un nuovo strumento chiamato GRAPELOADER, che permette agli aggressori di ottenere un punto d’appoggio nel computer della vittima. GRAPELOADER raccoglie informazioni sul sistema, stabilisce un backdoor per ulteriori comandi, e assicura che il malware rimanga sul dispositivo anche dopo un riavvio.
“GRAPELOADER perfeziona le tecniche anti-analisi di WINELOADER introducendo metodi stealth più avanzati,” hanno notato i ricercatori. La campagna utilizza anche una versione più recente di WINELOADER, un backdoor noto da precedenti attacchi APT29, che è probabilmente utilizzato nelle fasi successive.
Le email di phishing sono state inviate da domini che impersonavano veri funzionari ministeriali. Se il link nell’email non riusciva a ingannare il bersaglio, venivano inviate altre email per riprovare. In alcuni casi, cliccando sul link, gli utenti venivano reindirizzati al sito web del Ministero per evitare sospetti.
Il processo di infezione utilizza un file PowerPoint legittimo per eseguire un codice nascosto utilizzando un metodo chiamato “DLL side-loading”. Successivamente, il malware si copia in una cartella nascosta, modifica le impostazioni del sistema per avviarsi automaticamente e si connette a un server remoto ogni minuto in attesa di ulteriori istruzioni.
Gli aggressori hanno fatto di tutto per rimanere nascosti. GRAPELOADER utilizza tecniche complesse per confondere il suo codice, cancellare le sue tracce e evitare il rilevamento da parte del software di sicurezza. Questi metodi rendono più difficile per gli analisti scomporre e studiare il malware.
Questa campagna dimostra che APT29 continua a evolvere le sue tattiche, utilizzando strategie creative e ingannevoli per spiare obiettivi governativi in tutta Europa.
Storia precedente
Ultimi articoli 
