Cybercrime o spionaggio? Le difficoltà nell’attribuzione delle minacce

La maggior parte delle volte, è possibile delineare le attività di cluster distinti e separare la criminalità informatica dallo spionaggio in base a tattiche, tecniche e procedure (TTP) diverse, strumenti, volume/scala e targeting.

Tuttavia, nel caso di TA829 e di un cluster chiamato UNK_GreenSec, c’è più ambiguità. TA829 è un attore che occasionalmente conduce anche operazioni di spionaggio allineate agli interessi statali russi, mentre UNK_GreenSec è un cluster cyber criminale dal comportamento non tradizionale.

TA829 si sovrappone all’attività tracciata da terze parti come RomCom, Void Rabisu, Storm-0978, CIGAR, Nebulous Mantis, Tropical Scorpius. Il cluster cybercriminale UNK_GreenSec non sembra allinearsi con i set di attività riportati pubblicamente.

Durante la caccia a TA829, è stato osservato un altro attore che utilizzava una quantità insolita di infrastrutture, tattiche di consegna, pagine di destinazione e temi di esche via email simili.

Inizialmente i ricercatori hanno raggruppato questa attività come parte di TA829, ma dopo ulteriori indagini sulla catena di infezione, sui comportamenti e sul malware, hanno iniziato a tracciare questa attività come un cluster separato.

Questo articolo descrive tale collisione, evidenziando le sovrapposizioni nell’attività e nel malware dei due attori. Inoltre, sono illustrate le ipotesi sul perché e come esistano questi tratti condivisi, che vanno dall’utilizzo di un fornitore di infrastrutture e delivery condiviso a una relazione più diretta tra i due cluster.

Inoltre, i ricercatori hanno anche osservato somiglianze nell’attività descritta con quella storica di TA505, inclusi esche, URL shortener, schemi di dominio, registrazione di domini e infrastrutture. Al momento non lo stanno attribuendo a TA505 in quanto non in grado di affermare con alta confidenza se questo attore sia definitivamente associato, o stia utilizzando TTP sorprendentemente simili.

TA829: chi è e come agisce il gruppo criminale

TA829 è un attore unico nel panorama delle minacce: il suo comportamento lo classifica come un cyber criminale a scopo finanziario, ma che conduce anche regolarmente campagne di spionaggio utilizzando la stessa suite di strumenti personalizzati.

In seguito all’invasione dell’Ucraina, TA829 ha iniziato a condurre campagne di spionaggio mirate in questo Paese, allineate agli interessi statali russi, in aggiunta al suo normale ritmo di campagne a scopo finanziario.

L’attività di TA829 è insolita nel mondo dello spionaggio. I suoi processi automatizzati e su scala, come l’aggiornamento regolare di packer e loader, l’uso di infrastrutture di invio e indirizzi sorgente vari per ogni bersaglio, e di estese catene di reindirizzamento per rilevare ed eludere i ricercatori, sono più tipici delcybercrime rispetto allo spionaggio.

TA829 conduce regolari campagne di phishing per distribuire varianti del suo malware SingleCamper (alias SnipBot, versione aggiornata della backdoor RomCom) o del suo malware più leggero DustyHammock.

Le capacità di fascia alta di TA829, come l’uso di exploit zero-day per browser o sistemi operativi, sembrano essere riservate a campagne di spionaggio dedicate. Non è chiaro se le capacità dell’attore siano cooptate, o se esista qualche altra forma di guida o incarico da parte del governo russo.

Le campagne di phishing di TA829, sia quelle di spionaggio che quelle di cybercrime su larga scala, sono rimaste relativamente statiche dall’anno scorso. Proofpoint ne ha osservato un piccolo numero attribuito a TA829 per tutto il 2024, con il gruppo rilevato l’ultima volta a ottobre.

Tuttavia, TA829 è tornato a febbraio 2025 con i suoi tipici TTP e un ritmo operativo più frequente.

L’attività include l’uso di email in testo semplice inviate da router MikroTik compromessi tramite fornitori di freemail, lo spoofing di link OneDrive o Google Drive per avviare le catene di infezione e l’utilizzo di reindirizzatori Rebrandly verso pagine di destinazione distintive.

TA829 probabilmente acquisisce servizi e infrastrutture da membri del sottobosco criminale, inclusi servizi di offuscamento e registrazioni di domini.

Nonostante l’integrazione nell’economia sotterranea e l’acquisto di alcune delle sue funzionalità, l’attore continua anche a sviluppare strumenti personalizzati per le proprie catene di infezione.

Durante una pausa nelle operazioni di TA829 a febbraio 2025, è iniziato anche un set simile di campagne con l’obiettivo di distribuire un payload malware precedentemente non osservato, che presentavano le caratteristiche distintive dell’attività di TA829, ma con differenze notevoli, inclusi volumi di messaggi nell’ordine delle migliaia che miravano a un set più ampio di settori e geografie, temi di esche che facevano costantemente riferimento a domande di lavoro e assunzioni, e il payload unico noto come TransferLoader.

I ricercatori di Proofpoint hanno osservato quattro campagne che lo distribuivano nelle prime due settimane di febbraio 2025 che, attribuite al cluster temporaneo chiamato UNK_GreenSec, hanno preso di mira il Nord America e variavano da poche centinaia a oltre duemila di messaggi.

TransferLoader è stato osservato rilasciare il ransomware Morpheus al culmine delle sue catene di infezione.

Il confronto tra le campagne di attacco

Ci sono molte somiglianze nelle catene di infezione di UNK_GreenSec e TA829. Il seguente diagramma illustra la sovrapposizione nell’infrastruttura di consegna e dove le catene divergono per la consegna del payload e l’installazione del malware.

Consegna e installazione per UNK_GreenSec e TA829.

La fase di distribuzione del malware

Entrambi gli attori si affidano ai servizi REM Proxy, distribuiti su router MikroTik compromessi, come parte della loro infrastruttura di invio a monte. I router compromessi hanno tipicamente la porta 51922 aperta che ospita un servizio SSH.

Attualmente Proofpoint non ha visibilità sul metodo utilizzato per compromettere questi dispositivi, probabilmente affittati agli utenti per inoltrare il traffico, e su quali siano i payload di REM Proxy.

Nelle campagne osservate, sia TA829 che UNK_GreenSec utilizzano il servizio per inoltrare il traffico a nuovi account presso fornitori di freemail per poi inviare ai bersagli. I servizi REM Proxy sono stati utilizzati anche da TA829 per avviare campagne simili tramite account email compromessi.

Due esempi di fornitori di servizi freemail abusati per inviare email da nodi REM Proxy. (Campagna UNK_GreenSec (sopra); campagna TA829 (sotto).

Il formato degli indirizzi del mittente è standard tra i provider e tipicamente contiene un nome e un cognome, seguito da due a sei numeri (alcune campagne UNK_GreenSec non hanno utilizzato cifre negli indirizzi del mittente). Proofpoint ipotizza che gli attori condividano un’utility di creazione di email che ne consente produzione e invio in massa tramite nodi REM Proxy.

Le email in entrambe le campagne sono composte da messaggi in testo semplice che contengono un link a un dominio controllato dall’attore, direttamente nel corpo o in un PDF allegato, come mostrato di seguito. I messaggi sono a tema di ricerca di lavoro o reclami contro l’entità target, e il contenuto è abbastanza generico da essere riutilizzato in tutta la campagna, ma con un link unico per ogni bersaglio.

Esca email utilizzata da TA829 a febbraio 2025.

Esca email utilizzata da UNK_GreenSec a febbraio 2025.

All’apertura del link, una serie di reindirizzamenti conduce gli utenti a una pagina di destinazione che simula OneDrive o Google Drive.

Entrambi gli attori utilizzano una registrazione di dominio simile, affidandosi ai servizi e all’hosting di Rebrandly.

Le campagne che hanno distribuito TransferLoader hanno utilizzato protezioni più elaborate per filtrare i dispositivi di ricerca e le sandbox e adoperato i servizi Cloudflare per filtrare il traffico.

TA829 in precedenza utilizzava reindirizzatori Rebrandly con link monouso sulle pagine di destinazione, ma a marzo 2025, l’attore ha adottato pratiche di filtering precedentemente utilizzate da UNK_GreenSec.

In tutte le campagne, per entrambi i set di attività, le pagine di destinazione mostrano un link a un sito di download, che a sua volta rilascia un loader firmato che simula un PDF.

A questo punto, le somiglianze terminano poiché il JavaScript e il malware di primo stadio sono distinti tra ogni cluster, e le catene di infezione continuano a divergere, terminando con payload diversi.

Sulla base dei dati di Proofpoint e delle pubblicazioni di Unit42, Talos e Zscaler, TA829 e UNK_GreenSec hanno entrambi distribuito l’utility PLINK di Putty per impostare tunnel SSH, e hanno utilizzato i servizi IPFS per ospitarle in attività successive.

TA829: la richiesta di rispondere e accedere al registro

Se un utente clicca sul link in un’email di TA829, viene condotto, tramite un dominio di redirect di primo stadio dell’attore, quindi tramite uno di Rebrandly, a una landing page che imita Google Drive o OneDrive.

Se l’utente clicca sul pulsante di download, un eseguibile viene scaricato da un altro dominio. In precedenza, TA829 si affidava a TempSH per ospitare l’eseguibile di primo stadio, ma ma da allora si è affidato a domini compromessi o servizi MediaFire per ospitare il payload.

Questo file eseguibile scaricato avvia la catena di infezione.

Pagina di destinazione a tema OneDrive di TA829 (sinistra). Pagina di destinazione a tema Google Drive di TA829 (destra).

La catena di infezione TA829 si basa pesantemente sul registro nelle sue operazioni, come osservato da Cisco Talos e Unit42 di Palo Alto Networks; viene utilizzato per archiviare payload aggiuntivi, per la persistenza e per convalidare che il loader non sia in esecuzione in una sandbox.

Il loader di primo stadio è una famiglia che Proofpoint traccia come SlipScreen, è firmato in modo non valido e utilizza un’icona di lettore PDF per convincere la vittima a eseguirlo. Sono state osservate varianti di SlipScreen scritte in Rust e altre in C++, e il suo crypter viene aggiornato per ogni campagna, rendendo difficile il rilevamento statico.

SlipScreen decifra e carica lo shellcode nel proprio spazio di memoria e avvia le comunicazioni con il server di comando e controllo (C2) dopo un controllo iniziale del registro per assicurarsi che il computer di destinazione abbia almeno 55 documenti recenti secondo il Registro di Windows (per evitare il rilevamento della sandbox).

Controlli del registro dello shellcode di SlipScreen.

TA829 fornirà una versione aggiornata del loader RustyClaw o del loader MeltingClaw (alias DAMASCENED PEACOCK); entrambi verranno scaricati ed eseguiti nello stesso spazio di indirizzi di processo e possono portare alle backdoor DustyHammock o SingleCamper.

Analisi iniziali suggerivano che queste diverse famiglie di malware fossero utilizzate esclusivamente per lo spionaggio (SingleCamper) o il cybercrime (DustyHammock); tuttavia, campagne successive hanno mostrato che entrambe erano utilizzate in intrusioni a scopo finanziario. Le campagne SingleCamper osservate nel 2025 presentano somiglianze con quelle DustyHammock, rendendo difficile la valutazione degli obiettivi.

Come parte della catena di infezione che porta a DustyHammock, la DLL RustyClaw viene prima eseguita nello spazio di processo di SlipScreen, quindi imposta una chiave di registro per memorizzare il percorso del payload di fase successiva. La DLL RustyClaw si rivolgerà quindi al server C2 per scaricare la backdoor DustyHammock in quella posizione e riavviare il processo explorer.exe. La chiave di registro impostata eseguirà la backdoor DustyHammock come parte del suo riavvio, tramite dirottamento COM.

DustyHammock è una backdoor minimalista in grado di eseguire comandi tramite cmd.exe, oltre a scaricare ed eseguire file aggiuntivi. La struttura beacon delle comunicazioni di DustyHammock è molto simile a quella di SingleCamper, il che suggerisce che entrambe le varianti possono essere amministrate dallo stesso pannello. Il report di ProDaft sul gruppo ha mostrato i vari ID bot delle infezioni DustyHammock (RUSTY, GAGA1) e SingleCamper (VIVAT, CMPN), fornendo ulteriore prova che TA829 utilizza uno strumento unificato di gestione delle infezioni.

Proofpoint ha anche osservato DustyHammock (nome DLL interno mmngr.dll) eseguire comandi da un C2 che seguivano la struttura beacon e i comandi di ricognizione automatizzati descritti da Talos come utilizzati da SingleCamper. Proofpoint ha osservato una variante di DustyHammock distribuire una DLL di ricognizione di rete scritta in Rust (nome interno extra.dll, che simulava DataFileSystemDiagnostic) per raccogliere informazioni sulla vittima, che operava efficacemente come un wrapper per le funzioni di Windows ipconfig, systeminfo e tasklist. È possibile che gli operatori di TA829 stessero testando una variante plug-in.

Nell’aprile 2025, TA829 è passato all’utilizzo della suite di strumenti ShadyHammock e SingleCamper nelle sue campagne a scopo finanziario e ha anche iniziato a prendere di mira organizzazioni nel settore della difesa e altri i correlati, tipicamente più indicativi di spionaggio, oltre a quelli colpiti nelle operazioni di cybercrime. La catena di infezione di ShadyHammock implementa anche più protezioni rispetto a quelle di DustyHammock, crittografando i payload successivi con chiavi derivate da informazioni sull’host vittima.

La catena di infezione di SingleCamper utilizza più DLL, tutte sviluppate dalla stessa base. I file hanno il medesimo avvio, utilizzando lo stesso algoritmo di hashing API, la stessa routine di decrittografia delle stringhe e la stessa funzione per interrogare WMI per informazioni sull’host.

Le DLL costruite da questa base utilizzeranno query WMI per raccogliere il ProcesserID e il numero di serie dell’host.

Alcuni campioni di una variante più vecchia di SlipScreen di agosto 2024 condividono anche la funzione di hashing API.

Questi elementi vengono concatenati e hashed, e quell’hash a 16 byte viene utilizzato come materiale chiave per decrittografare fasi aggiuntive, oltre che per convalidare le comunicazioni tra C2 e loader.

La prima di queste DLL, MeltingClaw, invierà una richiesta POST al server C2 con la stringa “get_module_test_msg_module” e l’hash di 16 byte aggiunto alla richiesta. Il C2 risponde con un blob di dati crittografato e con padding (la cui chiave è l’hash dell’host di 16 byte), che viene elaborato per rimuovere il padding, diviso in blocchi e quindi scritto in più posizioni nel registro.

Questi dati vengono quindi inseriti nel registro, ripartiti su quattro chiavi:

• HKEY_CURRENT_USER\Control Panel\Cursors\BackupData\Binary
• HKEY_CURRENT_USER\Control Panel\Colors\FontColor\Binary
• HKEY_CURRENT_USER\Environment\Cache\Binary
• HKEY_CURRENT_USER\Keyboard Layout\Preload\OldConfig\Binary

MeltingClaw invia quindi una seconda richiesta con la stringa “get_module_test_load_module” e il suddetto valore hash; il C2 restituisce la DLL ShadyHammock in testo semplice e MeltingClaw la scrive su disco, quindi imposta l’hijacking COM per far eseguire la DLL dopo il riavvio di explorer.exe.

La DLL ShadyHammock (nome interno: loader_moder.dll) legge e decrittografa il contenuto del registro e utilizza un loader di shellcode per distribuire una versione più recente della backdoor SingleCamper in memoria (nome interno message_module.dll). La backdoor imposta il mutex Global\srvmutex e conduce una ricognizione dell’host prima di connettersi allo stesso server C2 per effettuare il check-in.

La backdoor entra in un ciclo di beacon-sleep per connettersi al C2. Il server invia una risposta coerente che le ordina di rimanere in stato di sospensione finché un operatore non emette un comando, che la backdoor eseguirà. Se la risposta è inferiore a 16 byte o la richiesta in uscita fallisce, la backdoor incrementa un contatore di errori; una volta raggiunti 30 fallimenti, pulisce parti della catena di infezione e si autoelimina.

La backdoor SingleCamper ha un ampio set di comandi che possono essere trasmessi dal C2, come notato sia da Talos che da Unit 42. Sia SingleCamper che DustyHammock sono usati come punti d’appoggio principali nell’host target per compromettere ulteriormente le reti della vittima, scaricando strumenti aggiuntivi da InterPlanetary File System (IPFS) o emettendo comandi di ricognizione.

Ciò può facilitare il furto di dati e le distribuzioni di ransomware, entrambi i quali hanno i loro usi nello spionaggio e nelle campagne criminali.

UNK_GreenSec che distribuisce TransferLoader

Mentre Proofpoint monitorava le campagne TA829, è stato osservato un downloader diverso distribuito da una catena di infezione molto simile a febbraio 2025.

Questo downloader è diventato noto come TransferLoader ed è stato documentato da ZScaler. Le campagne che lo distribuiscono generalmente iniziano con e-mail riguardanti un falso candidato che cerca un impiego presso l’azienda del destinatario.

Come le campagne TA829, i mittenti sono individui generici e fittizi, anziché utenti reali compromessi.

I corpi delle e-mail contengono comunemente un link, o un PDF con un link, a quello che il mittente afferma essere un curriculum o un portfolio, ospitato su un server controllato dall’attore.

Il confronto tra infrastrutture

Le campagne UNK_GreenSec erano inizialmente più mature nelle loro abitudini di protezione dell’infrastruttura.

A differenza delle campagne TA829, i componenti JavaScript delle campagne TransferLoader reindirizzavano gli utenti a un diverso endpoint PHP sullo stesso server, il che consente all’operatore di effettuare un ulteriore filtering lato server.

UNK_GreenSec utilizzava una landing page dinamica, spesso irrilevante per lo spoofing di OneDrive, e reindirizzava gli utenti al payload finale che era memorizzato su un webshare IPFS.

JavaScript di download di UNK_GreenSec.

Inoltre, le campagne TransferLoader hanno introdotto controlli Cloudflare per impedire che il follow automatico dei link trovasse le pagine di download. Le campagne TA829 hanno poi adottato questa pratica e le sue e landing page mostreranno una pagina splash statica se il link è già stato utilizzato, presumibilmente dalla vittima.

Il JavaScript sulla landing page per le campagne TA829 è stato coerente dalla metà del 2024, reindirizzando ancora gli utenti a siti di hosting di terze parti, come MediaFire o Temp.Sh, o a domini compromessi per ospitare il payload di primo stadio.

JavaScript di download di TA829.

I domini di redirect di primo stadio per entrambi gli attori sono stati registrati tramite Tucows e ospitati su infrastrutture dedicate di Rebrandly, utilizzando la tecnologia NGINX per la landing page.

I domini C2 di TA829 sono protetti da CloudFlare, ma il backend è tipicamente ospitato su ASN di ShockHosting o Aeza International, utilizzando la tecnologia OpenResty. I componenti di fase avanzata di TA829 seguono la suddetta struttura di beaconing basata su HTTP e di esecuzione dei comandi.

Le pagine di destinazione e l’infrastruttura C2 di UNK_GreenSec sono tipicamente ospitate direttamente sui server Aeza e saranno registrate tramite il registrar WebNic. Le landing page di UNK_GreenSec e i C2 utilizzano NGINX in esecuzione su Ubuntu.

Il traffico di TransferLoader utilizza intestazioni HTTP personalizzate e un protocollo basato su TCP per comunicare con i suoi server C2. Sebbene queste differenze possano essere sottili, possono potenzialmente aiutare a distinguere l’infrastruttura di un attore dall’altro.

Possibili ipotesi su correlazioni tra gli attori delle minacce

L’analisi su entrambi i set di attività solleva interrogativi se questi attori siano correlati o se la sovrapposizione sia casuale. Questi includono somiglianze nelle TTP (Tattiche, Tecniche e Procedure), nell’infrastruttura e nel malware.

La tempistica dell’attività di UNK_GreenSec durante una pausa di TA829 e la connessione a Morpheus e al ransomware HellCat rafforzano ulteriormente la possibilità di una relazione tra UNK_GreenSec e TA829.

I dati nel loro complesso portano alle seguenti ipotesi potenziali:

• TA829 e UNK_GreenSec acquistano distribuzione e infrastruttura dallo stesso fornitore terzo;
• TA829 procura e distribuisce la propria infrastruttura, fornendo temporaneamente tali servizi a UNK_GreenSec;
• UNK_GreenSec è il provider di infrastruttura e distribuzione, che normalmente rivende agli operatori di TA829, e ha temporaneamente utilizzato tali servizi per distribuire il proprio malware, TransferLoader;
• I due cluster sono dello stesso attore, e TransferLoader è una nuova famiglia in fase di test da parte di TA829.

Conclusioni

Storicamente, le operazioni di cybercrime e spionaggio sono rimaste relativamente distinte, con motivazioni divergenti. Sebbene ci fossero alcune notevoli eccezioni – ad esempio, malware cyber criminale utilizzato per spionaggio come DanaBot e Sunseed e operatori criminali che lavoravano per sponsor governativi – nel complesso gli obiettivi potevano essere ampiamente definiti e attribuiti in modo netto.

Un paese che si è sempre trovato al di fuori di questa dicotomia è la Corea del Nord, dove gli attori conducono sia spionaggio che crimini per rubare denaro per conto del regime.

Nell’attuale panorama delle minacce, i punti in cui le attività di cybercrime e spionaggio si sovrappongono continuano ad aumentare, rimuovendo le barriere distintive che separano attori criminali e statali.

Campagne, indicatori e comportamenti sono confluiti, rendendo più difficile l’attribuzione e il raggruppamento all’interno dell’ecosistema. Sebbene non ci siano prove sufficienti per sostanziare l’esatta natura della relazione tra TA829 e UNK_GreenSec, è molto probabile che esista un legame tra i gruppi.