Dalla ricerca energetica turca ai think tank europei, Mosca continua a investire nel credential harvesting come strumento a basso costo e ad alto rendimento. L’ultima analisi di Recorded Future mostra come la cyber intelligence russa raffini metodi, bersagli e narrazione
BlueDelta, noto anche come Apt28 o Fancy Bear, continua a colpire dove l’accesso informativo significa l’estrazione di dati relativi alla ricerca energetica, alla cooperazione tecnico-scientifica, ai think tank e alle infrastrutture di comunicazione governativa. L’ultimo report redatto dall’Insikt Group di Recorded Future individua i bersagli colpiti nel 2025.
La natura dei target e la loro rilevanza strategica parlano da sé. Ricercatori turchi nel nucleare e nelle rinnovabili, organizzazioni in Europa, in Nord Macedonia e in Uzbekistan. Un perimetro selettivo, coerente con le priorità geopolitiche di Mosca, perseguite tramite una filosofia operativa che fa della continuità, della persistenza e dell’accumulo i suoi punti centrali.
Tra febbraio e settembre 2025, analizza il report, il gruppo legato al Gru ha infatti ampliato e affinato le proprie operazioni di raccolta credenziali, con un’elevata coerenza strategica dei target e secondo una dottrina consolidata.
Il modus digitandi
Granularità, gradualità e dispersione. La forza delle operazioni risiede nell’uso sistematico di servizi legittimi. BlueDelta impersona portali reali, Outlook Web Access, Google, Sophos Vpn, replica interfacce autentiche e, dopo il furto delle credenziali, reindirizza la vittima verso siti ufficiali. Webhook.site, InfinityFree, Byet Internet Services, ngrok. Tutte infrastrutture gratuite, temporanee e sacrificabili. La logica è chiara e segue un calcolo rischi-benefici. Ridurre i costi, aumentare la resilienza, complicare l’attribuzione. Ogni pagina di phishing diventa un tassello intercambiabile, pronto a sparire, una volta utilizzato, senza lasciare tracce rilevanti.
La leva cognitiva
Uno degli elementi più interessanti emersi dal report riguarda l’uso di documenti Pdf autentici come esca. Le pubblicazioni del Gulf Research Center o dell’EcoClimate Foundation vengono caricate nel browser della vittima prima della richiesta di login. La scelta di questi contenuti, più che scenografica, è cognitiva. BlueDelta fa leva sull’autorevolezza delle fonti, utilizzando un contesto professionale e la familiarità tematica dei contenuti per abbassare le difese degli utenti. Più che tecnica e capacità in rete, psicologia operativa applicata.
Dal furto alla strategia
L’analisi di Recorded Future mostra anche un’evoluzione nel codice: funzioni JavaScript riutilizzate, corrette, adattate. Il gruppo hacker legato al Gru non inventa nuove modalità ma ottimizza quelle già esistenti. Quindi automatizza la raccolta dei dati, invia beacon di apertura pagina, cattura indirizzi e-mail già presenti nei link di phishing. Da qui, ogni dettaglio riduce il lavoro manuale e aumenta la scalabilità dell’operazione
Il punto non è però il singolo attacco ma l’insieme di questi. Il credential harvesting rimane una delle armi preferite dell’intelligence russa perché offre accesso persistente. Una credenziale valida apre caselle e-mail, Vpn, reti interne. E il valore informativo è rilevante perché persiste nel tempo e segue una strategia che evolve con nuove esche, maggiore localizzazione linguistica, ulteriore abuso di servizi legittimi, senza mai innescare campagne di massa, ma applicando una pressione costante su target ad alto valore strategico. Qui il Gru continuerà ad investire.
