Phishing, tunnel cloud e un ritmo più costante sopra l'Ucraina
Un modello di campagna del 2025 attribuito a Gamaredon ha combinato spearphishing ripetuto e abuso di servizi cloud, mostrando come normali strumenti internet possano diventare copertura per un'intrusione persistente.
Nello spionaggio moderno, gli attacchi più silenziosi sono spesso i più difficili da fermare. Una campagna di lunga durata attribuita a Gamaredon nel 2025 mostra che il vantaggio dell'operatore può derivare meno da exploit esotici che da ripetizione, travestimento e infrastrutture che a prima vista sembrano normali. Il modello è importante perché trasforma segnali di fiducia aziendale di routine - email, servizi cloud e strumenti di scripting - in un sistema di consegna per attività ostili.
Fatti rapidi
- Nel 2025 sono state osservate trentacinque campagne di spearphishing distinte.
- L'attività si è concentrata su nuovi bersagli in Ucraina, con la maggior parte delle campagne nella seconda metà dell'anno.
- Nuovo malware e abuso di servizi cloud hanno fatto parte delle tecniche osservate.
- Lo spearphishing rimane uno dei metodi di accesso iniziale più affidabili nelle operazioni di spionaggio.
- I servizi cloud legittimi possono complicare il rilevamento perché il traffico malevolo può sembrare un normale utilizzo SaaS.
Perché il modello conta
La storia tecnica qui non è un singolo exploit rivoluzionario. È un cambiamento operativo verso scala e occultamento. Lo spearphishing ripetuto offre agli aggressori molte possibilità di ottenere un punto d'appoggio, soprattutto quando i messaggi sono adattati a una specifica organizzazione o a un flusso di lavoro. Una volta che un utente apre un'esca, la fase successiva può essere uno script, un collegamento o un altro loader leggero, più facile da sostituire rispetto a un grande impianto malware.
È qui che l'abuso dei servizi cloud diventa importante. Quando gli strumenti malevoli si appoggiano a servizi web fidati o a tunnel, il traffico può confondersi con l'attività aziendale quotidiana. Dal punto di vista difensivo, questo significa che il semplice blocco dei domini o il filtro della posta basato sulle firme può non cogliere il quadro generale. Il rilevamento deve guardare al comportamento: quale processo sta effettuando la connessione, se la destinazione è attesa e se l'endpoint ha davvero un motivo per parlare con quel servizio.
Questo spiega anche perché i set di strumenti modulari sono attraenti per gli operatori. Se un componente viene compromesso, un altro può essere sostituito senza ricostruire l'intera catena di intrusione. Il risultato non è sempre una violazione spettacolare; spesso è una campagna lunga e adattiva, progettata per continuare a sondare l'accesso, mantenere la persistenza e rendere costosa la bonifica.
Al momento della stesura, il quadro tecnico pubblico supporta un'analisi del rischio, non l'affermazione che ogni bersaglio o sistema a valle sia stato completamente compromesso. Ciò che è chiaro è che la combinazione di phishing, scripting e nascondigli basati sul cloud aumenta il costo della difesa.
Cosa devono monitorare i difensori
I controlli sulla posta elettronica restano importanti, ma sono solo il primo livello. Le organizzazioni hanno bisogno di una forte ispezione degli allegati, di una gestione attenta dei file di archivio e di limiti sui tipi di file rischiosi che possono attivare l'esecuzione di script. Il logging degli endpoint dovrebbe prestare particolare attenzione a PowerShell, VBScript, HTA e catene di esecuzione basate su collegamenti, soprattutto quando hanno origine da contenuti recapitati via email.
Ugualmente importante è la visibilità dell'egress. I log del proxy, la telemetria cloud e gli avvisi per un uso insolito delle API web possono rivelare endpoint che comunicano con servizi con cui normalmente non avrebbero contatti. In campagne come questa, il vero indizio spesso non è il payload da solo, ma il percorso che compie per restare attivo e comunicare.
Conclusione
L'attività di Gamaredon nel 2025 ricorda che le operazioni cyber non devono essere vistose per essere efficaci. Un ritmo costante di phishing, strumenti usa e getta e infrastrutture cloud fidate può essere sufficiente a mantenere la pressione su un bersaglio per mesi. Per i difensori, la lezione è netta: se l'aggressore può nascondersi nel traffico normale, la sicurezza deve diventare altrettanto fluente nel riconoscere che aspetto ha il normale.
TECHCROOK
Chiave di sicurezza hardware: Una chiave di sicurezza fisica aggiunge autenticazione multifattore resistente al phishing per email, account cloud e accessi amministrativi. È un dispositivo semplice e ampiamente disponibile che può ridurre il rischio di compromissione dell'account quando gli aggressori si affidano al furto di credenziali o a pagine di accesso false.
WIKICROOK
- APT: minaccia persistente avanzata, un'attività di intrusione mirata e di lunga durata spesso associata allo spionaggio.
- Spearphishing: un messaggio di phishing mirato, creato per una persona o un'organizzazione specifica.
- Abuso di servizi cloud: uso improprio di piattaforme cloud o web legittime per consegnare payload, instradare traffico o nascondere il command-and-control.
- Command-and-control (C2): il canale che gli aggressori usano per impartire istruzioni ai sistemi compromessi.
- PowerShell: un ambiente di scripting integrato in Windows che gli aggressori spesso abusano per esecuzione fileless o a fasi.




