APT28 e PRISMEX: Quando una Email Spegne le

Il Clic delle 9:47

Le 9:47 di un martedì grigio di aprile. Il caffè nella tazza ceramica del ministero è già sceso a temperatura ambiente, quel punto esatto in cui il nero diventa amaro senza più aromi. Marco — non è il suo vero nome, ma era quello che rispondeva quella mattina — scrolla la inbox con quel movimento meccanico che conosci bene: click, scan, click. Fuori, oltre i vetri antiproiettile, Bruxiglia — diciamo che era Bruxiglia — si muove nella nebbia tipica di quelle settimane.

L'email arriva con l'etichetta "Alta priorità". Mittente: un ufficiale della difesa ucraino con cui Marco coordina da mesi le spedizioni di aiuti logistici. L'oggetto è preciso: "Aggiornamento linee guida operative Q2 — allegato cifrato". C'è il logo NATO in fondo alla firma, il numero di telefono giusto, persino quel refuso nel cognome che l'ufficiale ucraino commette sempre. Tutto torna.

Marco clicca. PowerPoint impiega tre secondi in più del solito ad aprirsi. Tre secondi eterni in cui il cursore diventa una rotellina blu. Lui guarda il monitor, beve quel caffè orribile, e quando la presentazione si apre — sembra una banale slide su procedure doganali — non nota nulla di strano. Non c'è schermata rossa, non c'è richiesta di riscatto in bitcoin. Solo il silenzio assordante di qualcosa che è appena entrato nella rete senza bussare.

Nel corridoio, la stampante laser inizia a ronzare per una commissione di routine. Marco chiude la presentazione e passa alla prossima email. Non sa che PRISMEX è appena atterrato sul suo disco rigido.

Chi Sono i Fantasmi che Scrivono Email

Per capire cosa è appena successo, devi uscire da quell'ufficio. Alzati dal cubicle, vola sopra l'Atlantico, attraversa i confini fisici e digitali, e fermati a Mosca — specificamente nell'edificio di Khodynka, sede della direzione generale dell'intelligence militare russa, il GRU. Qui, nell'Unità 26165, operano i fantasmi conosciuti come APT28, Fancy Bear, Forest Blizzard, Pawn Storm. Sono nomi diversi per la stessa orchestra: hacker militari che non cercano i tuoi soldi, cercano i tuoi segreti.

Questo gruppo non è una gang di teenager in camera da letto. Sono operatori professionisti finanziati da uno stato, attivi dal 2004, con un pedigree che include il attacco al Comitato Nazionale Democratico americano nel 2016, le Olimpiadi Invernali 2018, e — incessantemente — l'infrastruttura critica ucraina fin dal 2014. I report di threat intelligence li descrivono come chirurghi, non macellai. Non sparano ransomware a caso. Studiano, osservano, costruiscono profili psicologici delle vittime.

La campagna che ha colpito Marco non è spam di massa. È spear-phishing di alta levatura: email costruite su misura dopo mesi di ricognizione sui social, intercettazioni di comunicazioni precedenti, analisi dei partner di progetto. Sanno chi contatta chi, a che ora, di cosa parlate. E sanno che tu, alle 9:47 di un martedì, sei ancora mezzo addormentato e più incline a cliccare.

PRISMEX rappresenta l'evoluzione di questa minaccia. Non è un virus che vuole essere visto. È una backdoor silenziosa progettata per durare mesi, se non anni, raccogliendo documenti, intercettando comunicazioni, mappando la rete interna. Mentre i criminali comuni cercano un bottino immediato, APT28 gioca a scacchi pensando alle mosse dei prossimi dieci anni.

L'Anatomia di un'Infiltrazione

Ma come funziona esattamente? Immagina il malware come un commando subacqueo che entra in un porto militarizzato. Non spara, non fa rumore. Si limita a installarsi e aprire una linea di comunicazione invisibile con la "mamma nave", i server di comando e controllo (C2) gestiti dagli operatori russi.

Il vettore d'ingresso è quasi sempre un documento Office — Word, Excel, PowerPoint — apparentemente legittimo. In questo caso specifico, il file sfrutta tecniche di "template injection" o macro malevole nascoste in elementi apparentemente innocui. Quando Marco ha aperto quella presentazione, PRISMEX ha scaricato il suo payload principale in due fasi: un dropper iniziale leggero, che poi recupera il vero codice malevolo da server compromessi ospitati su infrastrutture cloud legittime — spesso account Google Drive o Dropbox rubati o creati ad hoc.

Una volta dentro, PRISMEX non si comporta come un ransomware che cripta tutto in vista. È selettivo. Si annida nei processi di sistema legittimi, spesso impersonando servizi Windows standard come update checks o utility di diagnostica. Usa tecniche di "living off the land": non porta armi proprie, usa gli strumenti già presenti nel sistema per mimetizzarsi.

La persistenza è garantita attraverso modifiche al registro di sistema o task WMI (Windows Management Instrumentation), meccanismi che permettono al malware di risvegliarsi a intervalli regolari anche dopo i riavvii. E quando comunica con i server C2, lo fa attraverso connessioni HTTPS cifrate, mimetizzandosi perfettamente nel traffico web normale dell'ufficio. I dati rubati — documenti classificati, email, credenziali — vengono esfiltrati in piccoli pacchetti, come gocce d'acqua che non fanno rumore cadendo.

La parte inquietante? PRISMEX include funzionalità di "anti-forensics": se rileta tentativi di analisi o sandboxing, può rimanere dormiente per giorni, fingendo di essere un software legittimo, per poi attivarsi solo quando rileva input umano reale — come la pressione di tasti o il movimento del mouse.

Il Prezzo del Silenzio

Quando un attacco del genere viene scoperto — spesso mesi dopo l'infezione iniziale — il danno è già fatto. Ma qui non parliamo di un furto di dati di carte di credito o di un sito web defacciato. Le conseguenze sono di altro ordine.

Immagina che i piani di spostamento di equipaggiamenti militari verso il fronte est siano stati letti in tempo reale dal nemico. Immagina che le identità di informatori locali, codificate in documenti interni, siano ora note ai servizi di intelligence avversi. Immagina che le coordinate di depositi di aiuti umanitari siano compromesse prima ancora che i camion partano. Questo non è un danno economico quantificabile in euro: è una perdita strategica che può costare vite umane.

A livello organizzativo, la bonifica costa fortuna. Non basta cambiare password. Devi isolare segmenti di rete, reinstallare sistemi operativi da zero su migliaia di macchine, condurre audit forensi che durano mesi. La reputazione internazionale subisce una scossa: se sei un alleato NATO e ti scoprono con una backdoor russa nel sistema da sei mesi, la fiducia reciproca vacilla. I partner iniziano a chiedere: "Se loro sono stati bucati, quanto sono sicuri i dati che condividono con noi?"

E poi c'è il fattore umano. Marco, il funzionario che ha cliccato, vivrà con la consapevolezza di essere stato il vettore — per quanto inconsapevole — di una violazione nazionale. Lo stress post-incidente nei team di sicurezza è reale e spesso sottovalutato. La colpa, però, non è sua. È di un sistema di difesa che ha permesso a quell'email di arrivare alla sua inbox senza essere stata smontata pezzo per pezzo prima.

Cosa Avresti Potuto Fare (e Perché il Filtro Base Non Basta)

La domanda che ti starai facendo è: come si ferma una cosa del genere? La verità è che non esiste un bottone magico. Ma esistono stratificazioni di difesa che, messe insieme, rendono la vita dell'attaccante molto più difficile.

Primo: la formazione serve, ma non basta da sola. Puoi addestrare Marco a riconoscere il phishing, ma quando l'email è così ben costruita da includere riferimenti a conversazioni reali avvenute su altri canali, anche il dipendente più attento può cadere nel tranello. Serve una difesa tecnica che agisca prima del clic.

Secondo: la segmentazione della rete. Se il PC di Marco è compromesso, non dovrebbe poter raggiungere direttamente i server contenenti documenti classificati. Principio del minimo privilegio: l'utente medio deve accedere solo a ciò che gli serve per lavorare, non all'intero archivio aziendale.

Terzo: l'analisi comportamentale dei file. Un documento che scarica codice da internet o che tenta di modificare chiavi di registro deve essere isolato e analizzato in una sandbox — un ambiente virtuale sicuro dove il malware può esplodere senza danni. Qui entra in gioco un livello di protezione email avanzata: sistemi che non si limitano a guardare il mittente o l'oggetto, ma analizzano il comportamento semantico del messaggio e il codice effettivo degli allegati. Una piattaforma come MailSniper, con la sua capacità di analisi AI semantica e sandboxing automatizzato, avrebbe potuto riconoscere quel documento PowerPoint come sospetto prima che aprisse la rotellina blu sullo schermo di Marco, bloccando l'email in quarantena per ispezione.

Quarto: il threat hunting proattivo. Non aspettare che un antivirus gridi allarme, ma cercare attivamente anomalie: connessioni HTTPS verso domini sospetti, processi che si nascondono, pattern di traffico insoliti a ore strane.

Infine, la verifica delle identità attraverso protocolli come DMARC, SPF e DKIM è fondamentale, anche se gruppi come APT28 spesso compromettono account legittimi già verificati. Per questo serve una difesa a più strati: se l'identità è reale ma il comportamento è anomalo, il sistema deve insospettirsi.

La Prossima Email

Marco è tornato al lavoro dopo mesi di bonifiche e interrogatori interni. Il suo caffè ora lo beve in una tazza termica, e guarda ogni email con sospetto. Ma il problema non è stato risolto. APT28 è ancora là fuori, sta già scrivendo la prossima email, quella che arriverà sulla scrivania di qualcun altro alle 9:47 di un martedì qualunque.

La domanda non è se il tuo sistema verrà preso di mira. La domanda è: quando accadrà, sarà pronto a riconoscere il silenzio di PRISMEX prima che sia troppo tardi? Perché nel cyber spionaggio, come nella vita, il pericolo più grande non arriva con un bang. Arriva con il clic quasi impercettibile di un mouse, mentre il caffè si raffredda sulla scrivania.

Vuoi capire meglio come funziona la protezione email moderna? Leggi la nostra guida alle tecniche di analisi o consulta le domande frequenti su come difendere la tua organizzazione.