![[Link esterno] Sito internet - Provincia autonoma di Bolzano - Alto Adige](/css/img/APBZ_Logo_Website_DE_IT_LAD.svg){kind=logo}
Campagna di furto credenziali attribuita al gruppo APT28 colpisce organizzazioni energetiche, centri di ricerca e think-tank
Un nuovo ciclo di attività di raccolta credenziali è stato attribuito al gruppo di cyber-spionaggio di origine russa noto come APT28 (anche identificato come BlueDelta), che ha preso di mira il personale di enti legati a una agenzia energetica e di ricerca nucleare turca, membri di un think tank europeo e organizzazioni in Nord Macedonia e Uzbekistan.
Le indagini della società di intelligence Recorded Future mostrano che questa campagna — che segue un’altra operazione recentemente osservata contro utenti del servizio di webmail UKR[.]net — utilizza pagine di accesso contraffatte per raccogliere nomi utente e password delle vittime. Tali pagine imitano servizi legittimi come Microsoft Outlook Web Access (OWA), Google e portali VPN di Sophos per aumentare l’inganno.
L’attacco inizia con un email di phishing contenente un link abbreviato. Chi clicca viene reindirizzato tramite servizi come Webhook[.]site o InfinityFree a un documento PDF ingannevole: dopo una breve visualizzazione, la vittima viene inviata a una pagina di login fasulla. Una volta inserite le proprie credenziali, queste vengono trasmesse all’infrastruttura controllata dagli aggressori e poi l’utente viene reindirizzato al sito legittimo, riducendo così la probabilità di allarme.
Le tecniche osservate includono l’uso di documenti PDF autentici — come pubblicazioni di istituti di ricerca o briefing politici — per rendere il contenuto più credibile e convincere le vittime ad inserire le proprie credenziali.
Secondo Recorded Future, APT28 ha condotto almeno quattro campagne distinte nel 2025, ognuna con un tema e un bersaglio specifici, ma con un modus operandi simile per esfiltrare dati sensibili degli utenti.
Raccomandazioni di sicurezza
- Diffidare di email non sollecitate contenenti link abbreviati o richieste di accesso alle proprie credenziali.
- Verificare sempre l’URL reale prima di inserire nome utente e password, soprattutto su pagine di login apparentemente familiari.
- Abilitare l’autenticazione a più fattori (MFA) ovunque possibile per ostacolare l’uso delle credenziali rubate.
- Utilizzare filtri antiphishing e soluzioni di sicurezza di posta elettronica per bloccare messaggi malevoli prima che raggiungano gli utenti.
- Monitorare i log di accesso per individuare tentativi di login sospetti o anomali.
SOC
Altri comunicati stampa di questa categoria
- Nuova campagna ClickFix usa ingegneria sociale per diffondere malware tramite prompt ingannevoli (19/02/2026, 23:00)
- Microsoft corregge una vulnerabilità ad alta gravità in Windows Admin Center che consente l’elevazione di privilegi (19/02/2026, 23:00)
- Gruppo di cyber-spionaggio con supporto statale compromette reti governative e infrastrutture critiche in 37 Paesi (05/02/2026, 23:00)
![[external Link]: Dipartimento per la trasformazione digitale](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/89d3384e-8482-4aa1-8ae3-05b637cd88dc/dipartimento-transformazione-digitale.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: ACN](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/ac0e1861-4b7f-4ba1-85de-2e7e39b5372f/acn.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)
![[external Link]: Siag](https://assets-eu-01.kc-usercontent.com:443/505985a0-ced9-0184-5d3c-36be71e24187/dd32e81c-8456-4c46-803a-21a6983881c3/siag.jpg?w=568&h=150&fit=crop&crop=smart&fm=webp&lossless=0&q=75)