Una campagna di cyber-spionaggio condotta dal Gru russo, ha preso di mira gli utenti di Ukr.Net, uno dei principali servizi digitali ucraini. Secondo un report di Recorded Future, il gruppo BlueDelta ha usato phishing mirato, Pdf malevoli e infrastrutture gratuite per rubare credenziali e aggirare le difese occidentali. Un’operazione paziente, adattiva e coerente con le priorità di intelligence di Mosca
Insieme all’invasione russa in Ucraina la dimensione cinetica della guerra è accompagnata da azioni asimmetriche, ibride, cibernetiche, cognitive. Lo conferma l’ultimo report di Recorded Future, che ricostruisce nel dettaglio una campagna di cyber-spionaggio russa lunga quasi un anno, mirata a colpire gli utenti di Ukr.Net, uno dei principali servizi di webmail e informazione del Paese.
Dietro l’operazione ci sarebbe BlueDelta, nome in codice che gli analisti attribuiscono al Gru, l’intelligence militare di Mosca. Un attore noto e metodico, che da oltre un decennio usa il phishing come grimaldello, o passe-partout, per entrare nelle reti avversarie.
Una campagna continua
Tra giugno 2024 e aprile 2025, l’analisi dell’Insikt Group, la divisione di threat intelligence di Recorded Future, ha osservato 42 catene distinte di furto credenziali, tutte riconducibili allo stesso schema operativo. Nessun mordi e fuggi o azioni eclatanti, ma una metodologia operativa che si muove lungo un’attività persistente, adattiva, che evolve mentre le contromisure occidentali cercano di arginarla.
BlueDelta prende di mira Ukr.Net non per caso. Il servizio, infatti, rappresenta un nodo informativo sensibile, con milioni di utenti, comunicazioni private, notifiche istituzionali, talvolta accessi secondari ad altri servizi. Per un’agenzia di intelligence, è una vera e propria miniera, un vaso di Pandora informativo.
Il modus digitandi
Il cuore della campagna resta semplice e proprio per questo efficace. BlueDelta invia Pdf malevoli che simulano avvisi di sicurezza: “accesso sospetto”, “tentativo di violazione”, “reimposta la password”. Il linguaggio ricalca quello del servizio reale, il logo rassicura, il link invita ad agire subito. Le campagne offrono un aspetto ed una struttura apparentemente ufficiali, strutturate, affidabili, successivamente evidenziano e comunicano un problema, poi offrono una soluzione veloce. Le modalità malevoli cibernetiche seguono attivatori e logiche cognitive.
Dentro quel link risolutivo, poi, si apre una falsa pagina di login Ukr.Net, indistinguibile dall’originale. Qui entra in gioco il codice JavaScript, scritto su misura per catturare username, password e persino i codici di autenticazione a due fattori. Tutto avviene in tempo reale, senza dare l’impressione di qualcosa che non funzioni
Infrastruttura gratuita, precisione militare
BlueDelta non investe in server costosi o hosting dedicati, preferendo a questi un’infrastruttura strutturata su servizi gratuiti e legittimi, piegandoli a fini offensivi.
Le pagine di phishing vivono su Mocky, una piattaforma Api gratuita. Il traffico passa poi attraverso servizi di tunneling come ngrok e Serveo, che mascherano l’infrastruttura reale e aggirano i captcha e i controlli antifrode. Sporadicamente, il gruppo inserisce anche un ulteriore livello di reindirizzamento, utilizzando domini gratuiti o servizi di link-shortening per confondere i sistemi di difesa e-mail. Modalità non improvvisate ed oggi strutturate anche come rappresaglia, secondo Recorded Future, ai takedown occidentali del 2024, quando Fbi, Nsa e Cyber Command hanno smantellato parte delle reti Gru basate su router compromessi. Da lì, BlueDelta ha cambiato pelle, ma non strategia.
Più livelli, più controllo, più resilienza
Nel corso del 2025, la campagna introduce una struttura, basata su quattro livelli. Dal link iniziale fino ai server finali che ricevono le credenziali. Alcuni di questi server risultano localizzati in Francia, Canada e Svizzera, con configurazioni dedicate e certificati TLS coerenti con l’operazione. Un dettaglio tecnico, analizzato nel report, racconta bene l’attenzione al dettaglio: BlueDelta modifica il codice per disattivare il warning di sicurezza di ngrok, così da evitare che il browser avvisi l’utente di un comportamento anomalo. Così, anche l’ingegneria sociale passa dal backend, l’asset operativo e non visibile delle operazioni cibernetiche.
Intelligence
BlueDelta non cerca denaro. Cerca l’accesso ad informazioni, posizioni, relazioni, flussi comunicativi. Dati che riflettono le priorità di intelligence del Gru nel pieno della guerra contro l’Ucraina. Il furto di credenziali resta uno degli strumenti più economici ed efficaci per sostenere operazioni militari e politiche su larga scala, utilizzando il dominio cibernetico come un terreno di logoramento continuo, fatto di piccoli accessi, di informazioni sottratte nel tempo.
In questo contesto, il sistema si innova per resistere, cambia infrastruttura, ricicla servizi legittimi, abbassa il profilo e rimane in attesa. Una strategia che vale quanto un sistema d’arma convenzionale e richiede, per il suo contrasto, capacità di riconoscere le operazioni di influenza e spionaggio anche quando si presentano in forma ordinaria.
