Skip to main content

Insieme all’invasione russa in Ucraina la dimensione cinetica della guerra è accompagnata da azioni asimmetriche, ibride, cibernetiche, cognitive. Lo conferma l’ultimo report di Recorded Future, che ricostruisce nel dettaglio una campagna di cyber-spionaggio russa lunga quasi un anno, mirata a colpire gli utenti di Ukr.Net, uno dei principali servizi di webmail e informazione del Paese.

Dietro l’operazione ci sarebbe BlueDelta, nome in codice che gli analisti attribuiscono al Gru, l’intelligence militare di Mosca. Un attore noto e metodico, che da oltre un decennio usa il phishing come grimaldello, o passe-partout, per entrare nelle reti avversarie.

Una campagna continua

Tra giugno 2024 e aprile 2025, l’analisi dell’Insikt Group, la divisione di threat intelligence di Recorded Future, ha osservato 42 catene distinte di furto credenziali, tutte riconducibili allo stesso schema operativo. Nessun mordi e fuggi o azioni eclatanti, ma una metodologia operativa che si muove lungo un’attività persistente, adattiva, che evolve mentre le contromisure occidentali cercano di arginarla.

BlueDelta prende di mira Ukr.Net non per caso. Il servizio, infatti, rappresenta un nodo informativo sensibile, con milioni di utenti, comunicazioni private, notifiche istituzionali, talvolta accessi secondari ad altri servizi. Per un’agenzia di intelligence, è una vera e propria miniera, un vaso di Pandora informativo.

Il modus digitandi

Il cuore della campagna resta semplice e proprio per questo efficace. BlueDelta invia Pdf malevoli che simulano avvisi di sicurezza: “accesso sospetto”, “tentativo di violazione”, “reimposta la password”. Il linguaggio ricalca quello del servizio reale, il logo rassicura, il link invita ad agire subito. Le campagne offrono un aspetto ed una struttura apparentemente ufficiali, strutturate, affidabili, successivamente evidenziano e comunicano un problema, poi offrono una soluzione veloce. Le modalità malevoli cibernetiche seguono attivatori e logiche cognitive.

Dentro quel link risolutivo, poi, si apre una falsa pagina di login Ukr.Net, indistinguibile dall’originale. Qui entra in gioco il codice JavaScript, scritto su misura per catturare username, password e persino i codici di autenticazione a due fattori. Tutto avviene in tempo reale, senza dare l’impressione di qualcosa che non funzioni

Infrastruttura gratuita, precisione militare

BlueDelta non investe in server costosi o hosting dedicati, preferendo a questi un’infrastruttura strutturata su servizi gratuiti e legittimi, piegandoli a fini offensivi.

Le pagine di phishing vivono su Mocky, una piattaforma Api gratuita. Il traffico passa poi attraverso servizi di tunneling come ngrok e Serveo, che mascherano l’infrastruttura reale e aggirano i captcha e i controlli antifrode. Sporadicamente, il gruppo inserisce anche un ulteriore livello di reindirizzamento, utilizzando domini gratuiti o servizi di link-shortening per confondere i sistemi di difesa e-mail. Modalità non improvvisate ed oggi strutturate anche come rappresaglia, secondo Recorded Future, ai takedown occidentali del 2024, quando Fbi, Nsa e Cyber Command hanno smantellato parte delle reti Gru basate su router compromessi. Da lì, BlueDelta ha cambiato pelle, ma non strategia.

Più livelli, più controllo, più resilienza

Nel corso del 2025, la campagna introduce una struttura, basata su quattro livelli. Dal link iniziale fino ai server finali che ricevono le credenziali. Alcuni di questi server risultano localizzati in Francia, Canada e Svizzera, con configurazioni dedicate e certificati TLS coerenti con l’operazione. Un dettaglio tecnico, analizzato nel report, racconta bene l’attenzione al dettaglio: BlueDelta modifica il codice per disattivare il warning di sicurezza di ngrok, così da evitare che il browser avvisi l’utente di un comportamento anomalo. Così, anche l’ingegneria sociale passa dal backend, l’asset operativo e non visibile delle operazioni cibernetiche.

Intelligence

BlueDelta non cerca denaro. Cerca l’accesso ad informazioni, posizioni, relazioni, flussi comunicativi. Dati che riflettono le priorità di intelligence del Gru nel pieno della guerra contro l’Ucraina. Il furto di credenziali resta uno degli strumenti più economici ed efficaci per sostenere operazioni militari e politiche su larga scala, utilizzando il dominio cibernetico come un terreno di logoramento continuo, fatto di piccoli accessi, di informazioni sottratte nel tempo.

In questo contesto, il sistema si innova per resistere, cambia infrastruttura, ricicla servizi legittimi, abbassa il profilo e rimane in attesa. Una strategia che vale quanto un sistema d’arma convenzionale e richiede, per il suo contrasto, capacità di riconoscere le operazioni di influenza e spionaggio anche quando si presentano in forma ordinaria.

Archivi

Conti russa. E il Cremlino continua a usare le gang ransomware
James Bond

Da Mosca la lunga caccia del Gru agli account ucraini di Ukr.Net

Di Jacopo Marzano

Una campagna di cyber-spionaggio condotta dal Gru russo, ha preso di mira gli utenti di Ukr.Net, uno dei principali servizi digitali ucraini. Secondo un report di Recorded Future, il gruppo BlueDelta ha usato phishing mirato, Pdf malevoli e infrastrutture gratuite per rubare credenziali e aggirare le difese occidentali. Un’operazione paziente, adattiva e coerente con le priorità di intelligence di Mosca

Verde e blu

Vi spiego perché nel Quantum computing l'Italia ha il suo spazio. Parla Prati (Unimi)

Di Marco Mayer

A margine degli Stati Generali del Quantum, il prof. Enrico Prati sottolinea il ruolo strategico del Quantum computing e le opportunità per l’Italia, che può valorizzare le proprie eccellenze grazie a una strategia coordinata e a nuovi poli come il Centro Volta e la Italian Quantum Alliance

Economia

Ue-big tech, cosa non piace agli Usa e chi rischia di più

Di Gianluca Zapponini

Secondo un report di Signum Global Advisors, non ci sarebbero aziende italiane tra quelle messe nel mirino da Washington in caso di rappresaglie per la disparità di trattamento per le imprese americane che operano in Europa

intervista

La nuova legge elettorale potrebbe convenire (anche) a Schlein. Parla Petruccioli

Di Federico Di Bisceglie

Nel dibattito sulla legge elettorale, ci sono ancora diversi punti da chiarire, ma approvare una nuova modalità di voto, di stampo proporzionale con il premio di maggioranza, potrebbe convenire anche a sinistra. Occorre però che si inizi ad affrontare il tema, perché gli italiani devono sapere. Colloquio con l’ex presidente Rai, già dirigente della sinistra Claudio Petruccioli

Healthcare Policy

Così l’Europa cerca di colmare il divario con Usa e Cina. Il Biotech act visto da Greco

Di Fabrizio Greco

Sanità, investimenti e filiere strategiche sono al centro del primo tassello del Biotech Act, una scommessa europea che chiama in causa industria e Stati membri. Ancora alcune distanze su Hta, Ivd regulation e frammentazione, ma il confronto deve proseguire. La riflessione di Fabrizio Greco, presidente di Federchimica Assobiotec

Politica

Con Occhiuto a Palazzo Grazioli va in scena l'Italia liberale

Di Gianluca Zapponini

Dall’incontro romano presso la Stampa Estera, nel Palazzo che fu dimora di Silvio Berlusconi, il confronto tra manager e politici sul futuro del Paese, con protagonista il governatore della Calabria che qualcuno vede verso una futura guida di Forza Italia. Ma per il momento non ci sarà nessuna Opa sul partito azzurro

Verde e blu

Decarbonizzazione del trasporto aereo. Il patto tra istituzioni e industria per il Net Zero

Di Silvia Bosco

Il quarto congresso Pacta ha riunito istituzioni e industria per accelerare la decarbonizzazione del trasporto aereo. Al centro: biocarburanti, Saf, innovazione e investimenti. Obiettivo: Net Zero entro il 2050, con una transizione pragmatica e condivisa tra pubblico e privato.

Healthcare Policy

La farmaceutica ha saputo governare l'incertezza, ma per Cattani (Farmindustria) l'Europa rischia di restare spettatrice

Di Alessandra Maria Claudia Micelli

Numeri record, export in crescita e una resilienza unica nel panorama industriale globale: la farmaceutica italiana si conferma uno degli asset strategici del Paese. Ma serve una svolta sulla governance europea. Cattani: “Il settore è riuscito a navigare l’incertezza come nessun altro, ma serve un cambio di passo in Europa”

Economia

Pax Silica, il sottosegretario Helberg spiega la super iniziativa Usa sull'AI

Di Emanuele Rossi

“I flussi di politica economica dalla sicurezza nazionale. I Paesi che guidano nell’AI e nella tecnologia avranno l’economia più grande e l’esercito più forte”, spiega il sottosegretario Usa Helberg, raccontando la Pax Silica e il ruolo centrale degli alleati dell’Indo-Pacifico

James Bond

RT, Sud globale e information laundering. Così il Cremlino riorganizza l’offensiva cognitiva

Di Jacopo Marzano

Dalla manipolazione informativa alle interferenze via IA, passando per piattaforme digitali, clima e salute, la guerra ibrida contro l’Occidente si muove su fronti ormai integrati e normalizzati. Le operazioni russe nel Sud globale, il controllo dello spazio informativo interno e l’uso sistemico della disinformazione come strumento strategico trovano oggi un primo argine nelle sanzioni Ue. In questo contesto, l’allarme di Sergio Mattarella descrive una minaccia concreta alla coesione, ai valori e alle alleanze delle democrazie occidentali

×

Iscriviti alla newsletter