Sommario
Le recenti ricerche sulla cybersecurity hanno portato alla luce una stretta correlazione operativa tra due gruppi avanzati: TA829 (noto anche come RomCom RAT, Nebulous Mantis, Storm-0978, Void Rabisu, UNC2596, e altri alias) e UNK_GreenSec, identificato in particolare per la diffusione del loader TransferLoader. Questi gruppi dimostrano come le barriere tra cybercrime e attività di spionaggio statale siano ormai sempre più sottili e sfumate, con tecniche e infrastrutture spesso condivise per attacchi a livello globale.
Caratteristiche, infrastrutture e metodi di attacco condivisi
TA829 è noto per la capacità di operare sia su fronti di spionaggio (cyber espionage) sia su campagne a scopo finanziario, distinguendosi per l’utilizzo di vulnerabilità zero-day in Mozilla Firefox e Windows, e per il ricorso a servizi di hosting “bulletproof”, Living-Off-The-Land (LOTL), e comunicazioni C2 criptate. I suoi obiettivi sono spesso legati a interessi geopolitici russi e a campagne contro enti governativi, militari e infrastrutture critiche.
UNK_GreenSec invece è emerso nell’ambito di indagini su TA829 grazie a infrastrutture, tematiche e delivery tactics quasi sovrapponibili: entrambi i gruppi utilizzano REM Proxy (basato su router MikroTik compromessi) per mascherare traffico, inviare phishing da nuovi account email su provider gratuiti, e sfruttano IPFS (InterPlanetary File System) per ospitare malware e payload. Un’altra peculiarità condivisa è l’impiego di indirizzi email generati in massa tramite builder automatizzati e la scelta di landing page “dinamiche” – spesso finti Google Drive o OneDrive – che indirizzano le vittime verso download malevoli, dopo aver escluso ambienti di sandbox e macchine non di interesse.
TA829 propaga principalmente il malware SlipScreen, capace di controllare il sistema infetto solo se individua almeno 55 documenti recenti nell’hive di registro, segnale di una macchina “in produzione”. Questo loader apre la strada a backdoor come MeltingClaw e RustyClaw, e a componenti evolute come ShadyHammock, DustyHammock e SingleCamper (versione aggiornata di RomCom RAT), che implementano persistente controllo remoto, esfiltrazione dati e ulteriori download di payload da IPFS.
UNK_GreenSec invece focalizza le sue campagne su TransferLoader, spesso distribuito tramite email a tema “opportunità di lavoro” e download di PDF fasulli; il loader viene utilizzato come trampolino per ransomware come Morpheus (versione rebrandizzata di HellCat), Metasploit e altri malware personalizzati.
Catene di infezione avanzate, infrastrutture e strumenti condivisi
L’analisi dettagliata delle campagne condotte da TA829 e UNK_GreenSec rivela un’elevata sofisticazione nella catena di infezione e una strategia deliberata per eludere rilevamenti e difese aziendali. Entrambi i gruppi partono da campagne email di phishing ben strutturate, spesso realizzate tramite builder automatizzati che generano in massa indirizzi e messaggi con formato simile, utilizzando REM Proxy su router MikroTik compromessi come ponte per la distribuzione.
Meccanismo di delivery e filtraggio delle vittime
Le email inviate dai gruppi includono un link diretto (o all’interno di PDF allegati) che, una volta cliccato, porta la vittima attraverso una serie di redirect gestiti tramite servizi come Rebrandly, arrivando infine su landing page fasulle che imitano Google Drive o OneDrive. Prima di esporre il payload, l’infrastruttura esegue controlli per escludere macchine virtuali, sandbox e dispositivi non in target (per esempio, confrontando user agent, presenza di strumenti di analisi, geolocalizzazione e altre impronte digitali).
Divergenza nelle fasi finali della catena
A questo punto le campagne si biforcano:
- TA829 distribuisce SlipScreen, loader che controlla la presenza di almeno 55 file recenti nel registro di Windows per assicurarsi che la vittima sia un utente reale e produttivo. SlipScreen decripta e carica shellcode in memoria, aprendo comunicazioni C2 criptate con server remoti e scaricando ulteriori moduli tramite IPFS, come MeltingClaw (DAMASCENED PEACOCK), RustyClaw, ShadyHammock, DustyHammock e la nuova versione di RomCom RAT (SingleCamper/SnipBot). Alcuni di questi moduli sono capaci di scaricare payload aggiuntivi direttamente dalla rete IPFS, rendendo il flusso di attacco più resiliente e decentralizzato.
- UNK_GreenSec punta invece su TransferLoader, anch’esso ospitato su IPFS e scaricato tramite link apparentemente innocui inseriti in email a tema lavorativo. TransferLoader funge da loader stealth, invisibile ai sistemi di difesa, e viene usato come vettore per caricare ransomware come Morpheus, exploit framework come Metasploit, e altre minacce su misura per la vittima.
Entrambi i gruppi si affidano a strumenti noti come PuTTY PLINK per creare tunnel SSH, mantenendo il controllo su endpoint infetti e nascondendo il traffico tra client e server di comando. L’uso di utility come PLINK, scaricate e lanciate tramite IPFS, permette di costruire tunnel cifrati difficili da individuare nelle reti aziendali, specie dove non esistono sistemi di intrusion detection avanzati o logging centralizzato.
Filtraggio e evasione delle difese
Le landing page e i loader sono progettati per filtrare in tempo reale le connessioni sospette, consentendo solo ai target umani reali di raggiungere la fase finale d’infezione. Le versioni più recenti di SlipScreen e TransferLoader utilizzano check multipli su ambiente di esecuzione, registro di sistema e persino pattern d’uso, dimostrando una capacità di adattamento che riduce drasticamente i tassi di rilevamento automatico.
Convergenza tra cybercrime e spionaggio
La convergenza tra TA829 e UNK_GreenSec, evidenziata dalla condivisione di infrastrutture (REM Proxy, router MikroTik compromessi, hosting IPFS), strumenti (loader modulari come SlipScreen e TransferLoader) e tattiche di evasione, conferma la crescente commistione tra cybercriminalità organizzata e operazioni di cyber spionaggio. Questo scenario pone serie sfide agli analisti e alle aziende in termini di attribuzione e risposta agli incidenti.
Attribuzione incerta e zone grigie tra cybercrime e APT
Le indagini sulle campagne TA829 hanno mostrato come lo stesso gruppo sia stato collegato sia a intrusioni a scopo di spionaggio – tipicamente contro target governativi, militari o diplomatici – sia a operazioni orientate al profitto (ransomware, estorsioni, furto di dati). L’uso di loader e infrastrutture condivise tra TA829 e UNK_GreenSec rende sempre più complesso attribuire con certezza l’attacco a un’unica entità o a una specifica motivazione. Gli esperti di sicurezza sottolineano come questa commistione sia strategica: gruppi APT di matrice statale o semi-statale utilizzano tecniche e tool sviluppati per il cybercrime commerciale, e viceversa, per rendere le attività meno tracciabili e confondere la risposta difensiva.
Impatto sulla difesa aziendale e sul rischio sistemico
Per le aziende, il rischio principale non è solo il danno diretto (furto dati, ransomware, interruzione dei servizi) ma anche la possibilità che le stesse infrastrutture di attacco vengano riutilizzate in campagne a scopo differente: l’infiltrazione iniziale tramite phishing, loader e moduli persistenti può essere sfruttata per raccogliere informazioni sensibili da rivendere sul dark web oppure come base per attacchi futuri mirati a obiettivi strategici. La modularità degli attacchi, resa possibile dall’uso di IPFS e shellcode criptati, consente agli operatori di “cambiare missione” rapidamente a seconda del valore del target raggiunto.
La crescente adozione di tecniche anti-analysis, controllo ambientale e delivery selettivo (solo su target reali) costringe le aziende a rafforzare sia le misure preventive (awareness, patching, policy di accesso) sia le capacità di detection e response avanzate. Le tradizionali difese perimetrali risultano spesso inefficaci contro attacchi che si adattano in tempo reale e utilizzano infrastrutture decentralizzate come IPFS, rendendo fondamentale l’adozione di tecnologie EDR, SIEM e threat intelligence proattiva.
Riflessione tecnica: mitigare i rischi in uno scenario di attacco ibrido
Per contrastare minacce simili, le aziende devono:
- Aggiornare costantemente i sistemi e bloccare l’uso di router o device di rete vulnerabili a REM Proxy.
- Sensibilizzare i dipendenti sulle tecniche di phishing e delivery “dinamico” (PDF falsi, landing page camuffate).
- Rafforzare i sistemi di logging e monitoraggio, privilegiando le soluzioni capaci di individuare traffico anomalo su protocolli SSH o l’uso sospetto di strumenti come PLINK.
- Monitorare l’attività su IPFS e implementare policy di restrizione per il download da reti decentralizzate poco controllabili.
Solo con una strategia multilivello, che combini prevenzione, rilevamento precoce e risposta rapida, è possibile limitare l’efficacia di campagne come quelle di TA829 e UNK_GreenSec, riducendo l’esposizione sia al rischio economico che a quello geopolitico.
