Due nuove minacce dimostrano l’evoluzione delle campagne cybercriminali nel 2025: una colpisce le università con accessi remoti avanzati, l’altra sottrae criptovalute su larga scala tramite una rete fraudolenta che sfrutta app e strumenti AI falsificati. A rivelarlo sono Quorum Cyber, con un’analisi approfondita sulle operazioni in corso nel mondo accademico, e BleepingComputer, con un’inchiesta su un gruppo noto come Dark Partners. Entrambe le operazioni mostrano livelli elevati di sofisticazione tecnica e strategie diversificate, ma convergono in un punto: l’uso di strumenti legittimi come vettori di infezione.
Settore accademico nel mirino di RAT e malware persistenti
Secondo il rapporto pubblicato da Quorum Cyber il 16 aprile 2025, una campagna mirata ha interessato università, politecnici e centri di ricerca nel Regno Unito e in altri Paesi europei. Gli attacchi sono stati condotti utilizzando Remote Access Trojan (RAT) che permettono agli attori di mantenere l’accesso persistente all’interno delle reti compromesse. Le tecniche iniziali sfruttano phishing personalizzato, in cui i messaggi imitano comunicazioni ufficiali interne, spingendo le vittime a scaricare file malevoli camuffati da documenti accademici o materiali di lezione.
Una volta installati, i RAT analizzati presentano capacità di keylogging, esfiltrazione file, accesso a webcam e registri di rete. L’infrastruttura C2 usata per controllare i dispositivi infetti si basa su domini temporanei con DNS dinamico, il che rende difficile intercettare le comunicazioni. Inoltre, i malware includono meccanismi di offuscamento crittografico, cambiando le stringhe identificative ad ogni nuova infezione.
La campagna presenta forti somiglianze con precedenti attività di gruppi APT noti, anche se non è ancora stata attribuita a una specifica nazione. Tuttavia, la selettività degli obiettivi suggerisce un interesse in dati di ricerca, proprietà intellettuale e credenziali infrastrutturali.
Dark Partners e i furti massivi di criptovalute tramite software fasulli
Contemporaneamente, scoperta un’altra campagna ad ampio raggio condotta da un gruppo identificato come Dark Partners, responsabile di furti multimilionari di criptovalute. Il gruppo ha costruito una rete di siti fraudolenti che imitano applicazioni popolari di intelligenza artificiale, VPN e crypto wallet, per spingere le vittime a scaricare file apparentemente legittimi.
Una volta eseguiti, i file contengono malware come Lumma (per Windows) e Poseidon (per macOS), entrambi progettati per rubare credenziali di portafogli, sessioni browser e dati di autenticazione a due fattori. I malware sono stati firmati con certificati digitali validi, spesso rubati, per eludere i controlli dei sistemi di sicurezza moderni.
L’infrastruttura di controllo della campagna, pur in parte dismessa grazie ad azioni delle forze dell’ordine, rimane in gran parte operativa. I server C2 sono spesso collocati su hosting bulletproof e sfruttano reti di affiliazione criminale per distribuire il malware in modo scalabile. La distribuzione avviene principalmente tramite SEO poisoning e campagne pubblicitarie sponsorizzate nei motori di ricerca, che portano gli utenti su siti cloni ben realizzati.
Le criptovalute esfiltrate vengono poi smistate attraverso un mixing system decentralizzato per impedirne il tracciamento. Le autorità stimano perdite superiori ai 20 milioni di euro, con oltre 30.000 vittime accertate tra Europa, Asia e America Latina.
La combinazione di attacchi RAT al settore educativo e operazioni criminali coordinate come quella dei Dark Partners dimostra come la superficie di attacco si sia estesa ben oltre le infrastrutture aziendali. L’uso di malware con firme digitali valide, la distribuzione tramite SEO manipolato e il targeting di settori specifici indicano una nuova generazione di campagne cyber che combinano visibilità pubblica e persistenza invisibile.
Per i responsabili della sicurezza, è essenziale adottare strategie di detection comportamentale, segmentare le reti accademiche e controllare attivamente i DNS e i certificati nei download in ingresso. L’integrazione tra threat intelligence condivisa e protezione endpoint avanzata rappresenta l’unico approccio realmente efficace contro minacce di questa complessità.
