Sommario
Check Point Research ha individuato una nuova ondata di attacchi informatici attribuiti al gruppo russo APT29, noto anche come Cozy Bear o Midnight Blizzard, attivi a partire da gennaio 2025. L’operazione, altamente mirata e camuffata sotto inviti diplomatici per eventi enogastronomici, si fonda sull’uso combinato delle backdoor GRAPELOADER e WINELOADER, introdotte rispettivamente nelle prime e nelle successive fasi dell’attacco. Il bersaglio è chiaramente definito: ambasciate e ministeri degli esteri di paesi europei e non solo, colpiti con tecniche avanzate di stealth, evasione e persistenza.
La struttura dell’attacco: GRAPELOADER come stadio iniziale, WINELOADER per il controllo modulare
La catena d’infezione si innesca tramite email di phishing che imitano comunicazioni ufficiali di un Ministero degli Affari Esteri europeo. Il messaggio, spesso correlato a un presunto evento di degustazione di vini, contiene un link che, se cliccato, scarica un archivio chiamato wine.zip. Questo file include tre componenti: un eseguibile PowerPoint (wine.exe), una DLL ridondante (AppvIsvSubsystems64.dll) e una DLL pesantemente offuscata (ppcore.dll), identificata come GRAPELOADER.
Una volta eseguito il file PowerPoint, viene attivato un meccanismo di DLL side-loading che permette a GRAPELOADER di operare come downloader e stager. Il malware raccoglie dati base sull’ambiente infetto e stabilisce persistenza tramite la modifica del registro di Windows, inserendo wine.exe nel percorso di avvio automatico del sistema.
Tecniche avanzate di evasione: obfuscazione multilivello, API runtime e protezione contro memory scanning
GRAPELOADER applica tecniche raffinate per sfuggire al rilevamento. Tra queste, una triplice routine per l’offuscamento delle stringhe che impedisce l’analisi automatizzata, la risoluzione dinamica delle API, e il DLL unhooking che ripristina librerie critiche prima della chiamata. L’invio dei dati al server C2 avviene con protocollo HTTPS verso domini esca come ophibre.com.
Il payload finale, inviato in una fase successiva, è uno shellcode non cifrato, caricato direttamente in memoria. Il malware disattiva temporaneamente la protezione del segmento di memoria (PAGE_NOACCESS) per evitare la scansione attiva, ritardando l’esecuzione fino al ripristino della protezione in modalità eseguibile (PAGE_EXECUTE_READWRITE).
La nuova variante di WINELOADER: struttura modulare e controllo remoto evoluto
Parallelamente a GRAPELOADER, è stata identificata una nuova versione di WINELOADER, iniettata attraverso una DLL trojanizzata (vmtools.dll) mascherata da componente VMWare Tools. La DLL presenta 964 esportazioni fasulle, ma solo una è funzionale: Str_Wcscpy, responsabile dell’unpacking e della decrittazione del modulo principale tramite algoritmo RC4, usando una chiave hardcoded di 256 byte.
Una volta decompresso, il modulo core raccoglie informazioni dettagliate del sistema – inclusi indirizzo IP, PID, token di processo – e le invia tramite HTTPS GET a un server C2, usando uno user-agent falsificato per simulare Edge su Windows 7, un’accoppiata inesistente e quindi rilevante come indicatore di compromissione.
La comunicazione avviene con strutture dati complesse, mentre le routine di decrittazione, come in GRAPELOADER, cancellano subito la memoria per evitare l’estrazione durante l’analisi statica. L’evoluzione rispetto alla versione del 2024 è evidente anche nella mutazione del codice e nell’inserimento di istruzioni spazzatura per ostacolare i disassembler.
Attribuzione e infrastruttura: firma APT29 tra domini esca e backdoor condivise
L’intera campagna condivide con le operazioni APT29 già note la struttura dell’attacco: phishing personalizzato, inviti falsificati, side-loading, backdoor modulari e persistenza con uso minimo del disco. Il gruppo, coinvolto negli attacchi SolarWinds e noto per le sue operazioni contro enti diplomatici e agenzie governative, adotta tecniche riconducibili al suo modus operandi storico.
Le evidenze si rafforzano con il confronto tra le timestamp di compilazione di GRAPELOADER e WINELOADER, le similitudini nei metodi di decrittazione e la presenza ricorrente dei domini silry.com, bakenhof.com, ophibre.com, bravecup.com. La variante di WINELOADER qui utilizzata sostituisce il downloader ROOTSAW, confermando la continuità dello sviluppo e l’adattamento della toolchain esistente.
Una minaccia persistente che perfeziona l’ingegneria sociale e l’evasione malware
La campagna APT29 del 2025 riflette una maturazione nel design delle operazioni di cyberspionaggio, con un uso sempre più mirato di malware modulare, strategie di evasione memorizzate e phishing contestuale. GRAPELOADER e WINELOADER agiscono in tandem: il primo per il fingerprinting e la persistenza, il secondo per il comando e controllo avanzato.
La difficoltà nel rilevamento non risiede soltanto nella tecnologia impiegata, ma nella capacità degli attori di adattarsi rapidamente ai contesti geopolitici, costruendo email credibili, impiegando strumenti sofisticati e sfruttando meccanismi di esecuzione in memoria privi di impronta su disco. Per i team di sicurezza, la sfida ora è l’adozione sistematica di tecniche comportamentali, threat hunting e monitoraggio avanzato dei canali C2.
