Google smaschera BlackFile, l’operazione di estorsione vishing contro Microsoft 365

Google Threat Intelligence Group ha smascherato BlackFile, l’operazione di estorsione attribuita al gruppo UNC6671 che combina campagne di vishing altamente professionali con tecniche Adversary-in-the-Middle per compromettere account aziendali protetti da MFA. Il report pubblicato il 15 maggio 2026 mostra come gli attaccanti abbiano preso di mira organizzazioni in Nord America, Australia e Regno Unito, utilizzando chiamate vocali mirate, domini lookalike e automazione stealth per sottrarre enormi quantità di dati aziendali da piattaforme come Microsoft 365 e Okta. L’obiettivo finale è l’estorsione: i criminali esfiltrano dati sensibili e chiedono riscatti milionari minacciando pubblicazioni e divulgazioni mirate. La campagna rappresenta una nuova evoluzione delle minacce cyber moderne perché unisce ingegneria sociale, automazione cloud e tecniche avanzate di persistenza in un unico flusso operativo altamente scalabile. Il report di Google mostra inoltre come molte organizzazioni continuino a considerare l’MFA tradizionale una protezione sufficiente, mentre BlackFile dimostra che push notification, SMS e TOTP possono essere aggirati rapidamente attraverso attacchi sincronizzati e altamente convincenti.

BlackFile usa vishing professionale per aggirare le difese aziendali

L’accesso iniziale di BlackFile si basa quasi interamente sul vishing, cioè chiamate vocali fraudolente eseguite da operatori umani specializzati. Gli attaccanti contattano direttamente i numeri di cellulare personali dei dipendenti per evitare i controlli presenti sulle linee aziendali e sfruttano un approccio estremamente credibile. Fingono di appartenere all’help desk interno o al reparto IT e informano la vittima di una presunta migrazione obbligatoria verso nuove passkey oppure di un aggiornamento urgente del sistema MFA. Questo pretesto giustifica richieste anomale e riduce la diffidenza dell’utente.

Durante la chiamata la vittima viene guidata verso domini lookalike che imitano perfettamente i portali di autenticazione aziendali. UNC6671 ha evoluto rapidamente le proprie infrastrutture, passando da domini dedicati a singole vittime a sottodomini registrati tramite Tucows con naming credibile come organization.enrollms.com o organization.passkeyms.com. Questi siti replicano fedelmente le interfacce di login di Microsoft 365 e Okta, inducendo gli utenti a inserire username e password senza sospetti.

Le tecniche Adversary-in-the-Middle permettono di bypassare MFA

L’elemento più sofisticato dell’operazione riguarda l’utilizzo di tecniche Adversary-in-the-Middle. Quando la vittima inserisce le credenziali sul portale falso, gli attaccanti le inoltrano immediatamente al provider SSO legittimo. Il sistema reale genera quindi la richiesta MFA, che la vittima approva convinta di completare una procedura autorizzata dal reparto IT. In quel momento l’attaccante ottiene accesso completo all’account. L’intero processo avviene in tempo reale e dura pochi secondi. Una volta autenticati, gli operatori di BlackFile registrano immediatamente un nuovo dispositivo MFA sotto il proprio controllo per garantire persistenza futura anche nel caso in cui la password venga modificata. Questo passaggio trasforma un accesso temporaneo in una compromissione stabile. Il report di Google Threat Intelligence Group sottolinea come questa tecnica superi le difese MFA tradizionali sfruttando la componente umana e la velocità operativa. Gli attacchi risultano particolarmente efficaci contro organizzazioni che utilizzano MFA push o codici temporanei TOTP ma non hanno ancora adottato autenticazione resistente al phishing basata su FIDO2 o passkey hardware.

BlackFile si muove lateralmente tra Microsoft 365, Okta e SaaS enterprise

Dopo aver ottenuto accesso iniziale, gli attaccanti iniziano rapidamente movimenti laterali attraverso l’ecosistema SaaS aziendale. Il gruppo compromette applicazioni collegate come SharePoint, OneDrive, Salesforce e Zendesk, sfruttando la fiducia implicita tra servizi integrati nell’infrastruttura Single Sign-On. L’obiettivo non è soltanto rubare documenti isolati, ma ottenere visibilità completa sui repository informativi aziendali. BlackFile utilizza l’accesso iniziale per identificare utenti privilegiati, repository condivisi e archivi contenenti informazioni finanziarie, dati personali o documentazione riservata. La persistenza ottenuta tramite nuovi dispositivi MFA permette al gruppo di mantenere il controllo anche dopo eventuali reset password o chiusure di sessione. Questo approccio rende particolarmente difficile individuare la compromissione nelle prime fasi, perché le attività appaiono come normali accessi autenticati da utenti validi.

L’esfiltrazione stealth usa script Python e PowerShell

Una volta completata la fase di accesso e ricognizione, BlackFile passa all’esfiltrazione automatizzata dei dati. Gli operatori utilizzano script in Python e PowerShell che interrogano API cloud come Microsoft Graph per scaricare enormi volumi di file senza generare allarmi immediati. Gli attaccanti cercano termini sensibili come “confidential” o “SSN” per individuare rapidamente informazioni ad alto valore. Il report evidenzia un elemento particolarmente critico: invece di generare eventi espliciti di download, gli script provocano principalmente eventi FileAccessed, spesso considerati meno sospetti dai sistemi di monitoraggio tradizionali. Questo approccio stealth permette di trasferire quantità enormi di dati mantenendo una visibilità ridotta nei sistemi SIEM. In uno dei casi documentati, un singolo IP ha scaricato oltre un milione di file da SharePoint e OneDrive. Gli User-Agent identificati nei log includono stringhe come python-requests/2.28.1 e WindowsPowerShell/5.1 abbinate però a spoofing di ClientAppId Microsoft Office. Questi mismatch rappresentano indicatori di compromissione fondamentali per i team SOC.

BlackFile sfrutta infrastrutture VPN e hosting commerciali

Per complicare ulteriormente il tracciamento, BlackFile utilizza nodi VPN commerciali e provider hosting legittimi. Questa scelta permette agli attaccanti di nascondere la provenienza reale del traffico e di mescolare le proprie attività a grandi volumi di connessioni legittime. L’utilizzo di servizi comuni riduce il rischio di blocco immediato e rende più difficile per i team di sicurezza distinguere attività malevole da normali sessioni remote.

Gli operatori riutilizzano inoltre cookie di sessione catturati durante il vishing per evitare nuove richieste di autenticazione. L’intera operazione mostra un livello di maturità operativa superiore rispetto alle tradizionali campagne phishing automatizzate. BlackFile agisce come un’organizzazione strutturata, con ruoli distinti tra chiamatori, operatori tecnici ed estorsori incaricati della negoziazione finale.

L’estorsione avviene tramite canali crittografati e minacce dirette

Dopo l’esfiltrazione, BlackFile passa alla fase di estorsione. Il primo contatto avviene tramite email inviate da account Gmail generati automaticamente. Inizialmente i messaggi non mostrano alcun branding specifico, ma includono richieste di riscatto milionarie e istruzioni per continuare la conversazione tramite canali cifrati. Se la vittima risponde, gli operatori si identificano come BlackFile e spostano la negoziazione su piattaforme come Session messenger. Il gruppo dimostra spesso di conoscere nel dettaglio i dati sottratti e utilizza questa conoscenza per aumentare la pressione psicologica. Le minacce includono pubblicazione dei documenti, divulgazione ai clienti o comunicazione diretta con media e partner commerciali. Il report documenta anche il lancio temporaneo di un sito di data leak operativo nel febbraio 2026 e successivamente rimosso offline. BlackFile utilizza tattiche aggressive come voicemail minatorie e spam reiterato per costringere le organizzazioni a negoziare rapidamente.

Google avverte che MFA tradizionale non basta più

Uno degli aspetti più importanti del report riguarda il messaggio strategico lanciato da Google Threat Intelligence Group: l’MFA tradizionale non rappresenta più una difesa sufficiente contro campagne avanzate di social engineering sincronizzato. BlackFile dimostra che push notification, SMS e codici TOTP possono essere intercettati o approvati inconsapevolmente dalle vittime. Google raccomanda quindi l’adozione immediata di autenticazione phishing-resistant basata su FIDO2, passkey hardware e autenticazione legata al dispositivo. Le organizzazioni devono inoltre monitorare continuamente i log di audit di Microsoft 365 e identificare pattern anomali legati a FileAccessed, User-Agent sospetti e registrazione improvvisa di nuovi dispositivi MFA. Il report insiste anche sull’importanza della formazione interna: i dipendenti devono verificare qualsiasi richiesta IT attraverso canali ufficiali e non seguire mai istruzioni ricevute esclusivamente via telefono.

BlackFile mostra l’evoluzione delle estorsioni basate sui dati

L’operazione BlackFile evidenzia una trasformazione più ampia nel panorama cybercriminale. Gli attaccanti non puntano più necessariamente alla cifratura dei sistemi come nei ransomware tradizionali, ma si concentrano direttamente sul furto massivo di dati e sull’estorsione reputazionale. Questo modello riduce il tempo necessario per monetizzare l’attacco e limita l’esposizione operativa del gruppo criminale. UNC6671 ha costruito un’infrastruttura altamente standardizzata e ripetibile che permette di colpire decine di organizzazioni contemporaneamente. La combinazione di vishing professionale, tecniche AiTM, persistenza MFA e automazione cloud rende BlackFile uno degli esempi più sofisticati di estorsione moderna osservati nel 2026. Per le aziende occidentali, soprattutto quelle che gestiscono grandi volumi di dati personali o documenti sensibili, il rischio non riguarda più soltanto malware o ransomware, ma operazioni di compromissione silenziosa capaci di aggirare anche difese considerate fino a poco tempo fa sufficientemente robuste.