Lunedi 06 Luglio 2026 17:50:12 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Warfare & Nation-State Operations

Sabotaggio silenzioso: la violazione stealth di Fancy Bear con malware colpisce le reti governative europee

Pubblicato: 05 Febbraio 2026 09:32Categoria: Cyber Warfare & Nation-State OperationsArea: EuropeAutore: AGONY

Sottotitolo: Gli hacker APT28 sfruttano una nuova falla di Microsoft Office per infiltrarsi nelle agenzie europee, rubando segreti con tattiche quasi invisibili.

A fine gennaio 2026, un furto digitale ha attraversato i corridoi delle agenzie governative e militari europee. I colpevoli? Il famigerato APT28 russo, noto anche come Fancy Bear-un gruppo di cyber-spionaggio tristemente celebre per operazioni audaci, sostenute dallo Stato. Questa volta, la loro arma non è stata la forza bruta, ma un trucco tecnico silenzioso: una vulnerabilità di Microsoft Office mai vista prima che ha permesso loro di superare le difese senza un solo clic da parte delle vittime.

Dentro l’operazione: come APT28 ha messo a segno il phishing perfetto

La campagna è iniziata con email di spear-phishing realizzate con perizia-messaggi che sembravano in tutto e per tutto affari ufficiali di governo. Gli hacker si spacciavano per agenzie che avvertivano di contrabbando di armi, invitavano il personale a esercitazioni militari o inviavano allerte meteo urgenti. Ma un sottile errore di ortografia-“Boarder Police” invece di “Border Police”-ha offerto un raro scorcio dietro le quinte, suggerendo autori non madrelingua inglese alla regia dell’inganno.

Il vero pericolo, però, si annidava nei documenti allegati. Camuffati da moduli autentici, questi file sfruttavano una falla appena scoperta in Microsoft Office (CVE-2026-21509). A differenza degli attacchi tipici, le vittime non dovevano abilitare macro né cliccare su prompt sospetti. Bastava aprire il file perché l’exploit si attivasse in silenzio. Usando il sistema OLE (Object Linking and Embedding) di Office, il malware si collegava a internet via WebDAV e scaricava il payload successivo-aggirando la maggior parte degli avvisi di sicurezza.

La catena d’infezione era al tempo stesso sofisticata e furtiva. Un semplice programma loader garantiva la persistenza, mentre lo strumento principale di spionaggio, BeardShell, si nascondeva dentro quelli che sembravano innocui file immagine PNG. Questo travestimento ingegnoso lo aiutava a passare inosservato ai controlli antivirus. Per il controllo remoto, APT28 ha usato lo strumento open-source Covenant, comunicando con le macchine compromesse tramite filen.io-una piattaforma di archiviazione cloud legittima-facendo apparire il traffico come normale operatività.

Lo strumento più insidioso, NotDoor, si è annidato all’interno di Microsoft Outlook. Monitorava segretamente le email in arrivo, inoltrando automaticamente qualsiasi messaggio contenesse parole chiave sensibili-come “report” o “secret”-direttamente agli hacker, e cancellando ogni prova del furto. Questo ha permesso ad APT28 di sottrarre in silenzio informazioni diplomatiche e classificate per settimane o mesi.

I ricercatori di sicurezza avvertono che APT28 è riuscito a trasformare in arma la CVE-2026-21509 nel giro di poche ore dalla sua divulgazione pubblica, a conferma dell’agilità e della competenza tecnica del gruppo. La campagna, basata su servizi cloud legittimi e su un malware discreto a più stadi, ha reso il rilevamento eccezionalmente difficile.

Restare un passo avanti agli orsi

Gli attacchi di Fancy Bear sono un monito netto: nel cyber-spionaggio, le minacce più silenziose sono spesso le più pericolose. Le organizzazioni devono muoversi rapidamente-applicando patch alle vulnerabilità, monitorando traffico cloud anomalo e cercando regole nascoste in Outlook. Per ora, la caccia continua, ma le lezioni sono chiare: vigilanza e velocità sono l’unica vera difesa contro avversari che non dormono mai.

WIKICROOK

  • Spear: Lo spear phishing è un attacco informatico mirato che usa email personalizzate per ingannare specifiche persone o organizzazioni e indurle a rivelare informazioni sensibili.
  • OLE (Object Linking and Embedding): OLE consente l’incorporamento e il collegamento di oggetti tra applicazioni, migliorando il flusso di lavoro ma introducendo anche potenziali vulnerabilità di sicurezza nei documenti.
  • WebDAV: WebDAV è un protocollo che permette agli utenti di gestire file su server remoti, ma può essere abusato dagli attaccanti per accesso e controllo non autorizzati.
  • Persistenza: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Command and Control (C2): Il Command and Control (C2) è il sistema che gli hacker usano per controllare da remoto i dispositivi infetti e coordinare attacchi informatici malevoli.