Team MailSniper
Autore
Sai quel momento in cui entra in ufficio un tecnico che non hai chiamato? Ha il badge, la valigetta degli attrezzi, e un'aria da "sono qui per controllare la rete". La maggior parte delle persone lo lascia lavorare senza fare domande — perché sembra professionale, perché ha una risposta pronta per tutto, perché interromperlo richiederebbe più energie che lasciarlo fare.
Questo è esattamente il modello operativo di APT28.
Non entrano fisicamente, ovviamente. Ma il principio è lo stesso: sembrano legittimi, parlano il linguaggio giusto, e quando te ne accorgi sono già dentro da un pezzo. Il loro strumento preferito in questa campagna è un normale documento Word. L'allegato arriva via mail, tu lo apri, lui ti chiede di abilitare le macro — e se clicchi OK, nel tuo sistema si installa silenziosamente quello che i ricercatori di S2 Grupo hanno identificato come un macro malware basato su webhook.
La parte interessante — e preoccupante — è il canale di comunicazione che usa. Invece di chiamare un server segreto che un firewall decente bloccherebbe in cinque minuti, il malware usa i webhook: quegli stessi strumenti che le aziende usano ogni giorno per far parlare le proprie app tra di loro. Slack che notifica quando arriva un ticket. Zapier che lancia automatismi. Teams che aggiorna i board di progetto. Il traffico webhook è considerato legittimo quasi ovunque.
La spia, in questo scenario, manda i suoi rapporti segreti fingendo di scrivere alla mamma. E nessuno ci fa caso.
Partiamo dall'inizio. APT28 — conosciuto anche come Fancy Bear — non è un collettivo di teenager annoiati. È un'unità dell'intelligence militare russa, la GRU, attiva almeno dal 2007. Nel curriculum: l'attacco ai server del Partito Democratico americano nel 2016, operazioni contro agenzie NATO, azioni di destabilizzazione durante campagne elettorali europee. Gente seria, con risorse serie, con obiettivi scelti con cura.
La campagna analizzata dai ricercatori di LAB52 — il laboratorio di threat intelligence di S2 Grupo — punta a entità specifiche nell'Europa occidentale e centrale: organizzazioni governative, think tank, aziende con contratti pubblici sensibili. Non è pesca a strascico — è pesca con l'arpione.
Il vettore iniziale è il classico allegato Office. Il documento contiene macro scritte in modo da sembrare utili — formattazione automatica, menu interattivi, funzioni che giustificano l'abilitazione del contenuto attivo. L'utente clicca "Abilita contenuto" (perché lo fa quasi sempre, abituato a farlo per file interni) e la catena si mette in moto.
Le macro avviano uno script che opera in tre fasi:
Il terzo punto è il colpo di genio operativo. Il traffico verso endpoint webhook è praticamente indistinguibile da quello legittimo generato da migliaia di applicazioni aziendali. Un firewall che blocca tutto questo blocca anche metà dei tool di produttività usati ogni giorno. Nessuno lo fa.
Pensa al contrabbando via container marittimi: non metti la merce illegale su una barca sospetta, la nascondi dentro un carico regolare di elettrodomestici. La dogana dovrebbe controllare ogni singolo container per trovare quello che non va — e il volume rende il controllo sistematico impossibile. I webhook funzionano esattamente così: si nascondono nel rumore di fondo del traffico legittimo.
L'elemento più allarmante, però, è la durata: questo tipo di impianto non è pensato per un attacco rapido. È progettato per restare silenzioso per settimane o mesi — raccogliendo dati piano piano, come un infiltrato che si prende il tempo di capire la struttura interna prima di agire. Per molte organizzazioni colpite, la scoperta arriva molto dopo l'infezione iniziale.
"Ma io cosa c'entro? Non sono un obiettivo geopolitico."
È una domanda legittima. E probabilmente è anche vera, almeno in senso diretto.
Ma c'è un meccanismo che vale la pena conoscere: le tecniche degli attori statali filtrano verso il basso, sempre, con un ritardo di uno o due anni. Il ransomware — oggi lo strumento preferito di bande criminali in tutto il mondo — è stato perfezionato da gruppi sponsorizzati da stati. Il phishing via documenti Office era una tecnica avanzata dieci anni fa; oggi è la base dei kit di attacco che si trovano in vendita online per poche centinaia di euro. Il ciclo si ripete, puntuale.
I macro malware con webhook sono sofisticati oggi. Tra qualche anno saranno nel toolkit standard di chi manda mail false da "Agenzia delle Entrate" o da "Corriere con pacco in attesa". Non è fantascienza — è storia che si ripete.
E poi c'è il problema della catena di fornitura. Se sei fornitore, partner o subappaltatore di un'organizzazione nel mirino, diventi il percorso di minima resistenza. Non ti attaccano perché sei tu l'obiettivo finale — ti attaccano perché sei il modo più semplice per arrivare a qualcun altro. L'anello più debole in una catena. Succede più spesso di quanto si pensi, e le vittime "di passaggio" spesso non lo scoprono mai.
C'è poi un dato tutto italiano che vale la pena considerare: le macro Office sono ancora diffusamente abilitate nelle aziende. Non per negligenza — ma perché ci sono template storici, gestionali datati, fogli Excel condivisi da anni che le richiedono. "Se le disabilito si rompe tutto" è una frase che si sente spesso nei corridoi degli uffici. E in certi contesti è anche vera.
Ma quella scorciatoia tecnica è come tenere una finestra aperta al piano terra "tanto siamo in una zona tranquilla". Il rischio non dipende dalla tranquillità del quartiere — dipende da chi passa di lì.
Qualche buona notizia: non devi essere un esperto di sicurezza informatica per ridurre significativamente la tua esposizione. Ci sono misure concrete, graduate, che partono dal semplice e arrivano al più strutturato.
Microsoft lo ha fatto di default dal 2022 per i file scaricati da internet: le versioni aggiornate di Office bloccano automaticamente l'esecuzione delle macro nei file provenienti dall'esterno. Se hai Office 365 aggiornato, sei già parzialmente protetto.
"Parzialmente" perché gli utenti cliccano comunque "Abilita contenuto" senza pensarci, per pura abitudine. La mossa successiva, se hai un responsabile IT, è configurare le Group Policy per impedire l'esecuzione di macro non firmate digitalmente. Se gestisci tutto da solo, trovi l'opzione direttamente in Office: Centro protezione → Impostazioni macro → "Disabilita tutte le macro con notifica".
Non romperà niente che non fosse già rotto.
Lo so, sembra banale. Ma una percentuale significativa degli attacchi — anche di quelli avanzati — sfrutta vulnerabilità già risolte da mesi. Il tuo sistema non aggiornato è come una serratura con il meccanismo difettoso che metà del quartiere sa come aprire — solo tu non ci hai ancora fatto caso.
Dedica un momento fisso al mese — il primo martedì, il cosiddetto "Patch Tuesday" di Microsoft — per verificare che Windows, Office, browser e plugin siano tutti aggiornati. Non è eccitante, ma funziona.
Casi come APT28 lo confermano: la stragrande maggioranza degli attacchi parte da una mail. Non dal web, non dall'USB dimenticato in parcheggio, non dall'app del telefono — dalla mail. Eppure molte aziende investono in firewall sofisticati e lasciano la casella di posta con una protezione appena sufficiente.
Strumenti di protezione email avanzata — con analisi semantica degli allegati, sandbox che esegue i file in ambienti isolati e controllo degli URL in tempo reale — lavorano esattamente a questo livello: fermano il documento malevolo prima che arrivi in inbox, prima che qualcuno possa cliccare su "Abilita contenuto". MailSniper integra queste tecnologie per intercettare anche varianti non ancora catalogate nei database delle firme tradizionali.
Se non hai ancora valutato questa opzione, è il momento giusto. Guarda le opzioni disponibili come sceglieresti la serratura per la porta di casa: in base a quanto hai di prezioso dentro e a quanto ti costa perderlo.
Non per punire chi ci casca — per capire dove concentrare la formazione. Esistono strumenti gratuiti per simulare attacchi di phishing interni: mandi una mail "trappola" al team, vedi chi clicca, e usi quel dato per fare formazione mirata su chi ne ha più bisogno.
La differenza tra chi clicca e chi non clicca, nella maggior parte dei casi, è una sola domanda che il secondo si pone automaticamente: "Ma questo allegato me lo aspettavo davvero?" Insegnare a porsela istintivamente è il training più efficace che puoi fare — e non richiede investimenti particolari.
I webhook malevoli comunicano verso l'esterno. Se hai un minimo di monitoraggio del traffico di rete, cerca anomalie: volumi insoliti di dati in uscita, connessioni verso servizi che non riconosci, attività concentrata fuori dall'orario lavorativo. Anche soluzioni semplici possono aiutarti a vedere pattern inusuali. Se sei una PMI senza IT dedicato, considera un EDR (Endpoint Detection and Response) per i computer che gestiscono dati critici — è una tecnologia sempre più accessibile anche per realtà piccole.
Senti, te lo dico senza giri di parole: APT28 quasi certamente non sta cercando te. Ma quello che queste organizzazioni usano oggi diventa il kit standard dei criminali comuni domani — e i macro malware con webhook sono già troppo efficaci perché questo non accada.
Il punto non è spaventarti. È che alcune abitudini costano pochissimo da cambiare e proteggono tanto: tenere Office aggiornato, rivedere le impostazioni delle macro, avere un filtro email che faccia davvero il suo lavoro invece di fare il minimo sindacale.
Non devi diventare un esperto. Devi solo smettere di tenere la finestra aperta al piano terra.
Se vuoi capire meglio come funzionano questi attacchi e come difendersi in concreto, la sezione FAQ ha risposte pratiche senza tecnicismi. Il momento giusto per chiudere la porta non è quando qualcuno è già entrato.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoAlle 3:47 di una notte qualsiasi, un analista scopre i dati di AstraZeneca su un forum underground. Dietro c'è TeamPCP, con una tattica rara: il doppio ransomware. Ecco come funziona l'attacco alla supply chain che ha messo in ginocchio due colossi
LeggiQuarantotto ore senza nuovi host compromessi. Per la campagna TeamPCP non è un segnale positivo: significa che il gruppo ha smesso di espandersi e ha iniziato a raccogliere. Analisi della fase di monetizzazione, TTPs e raccomandazioni operative per i team di sicurezza.
LeggiUn add-in malevolo per Microsoft Outlook ha sottratto oltre 4.000 credenziali aziendali. Analizziamo come funziona questo nuovo vettore di attacco, perché sfugge ai controlli tradizionali e quali contromisure adottare per proteggere la tua organizzazione.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.