Skip to main content

BlueDelta, noto anche come Apt28 o Fancy Bear, continua a colpire dove l’accesso informativo significa l’estrazione di dati relativi alla ricerca energetica, alla cooperazione tecnico-scientifica, ai think tank e alle infrastrutture di comunicazione governativa. L’ultimo report redatto dall’Insikt Group di Recorded Future individua i bersagli colpiti nel 2025.

La natura dei target e la loro rilevanza strategica parlano da sé. Ricercatori turchi nel nucleare e nelle rinnovabili, organizzazioni in Europa, in Nord Macedonia e in Uzbekistan. Un perimetro selettivo, coerente con le priorità geopolitiche di Mosca, perseguite tramite una filosofia operativa che fa della continuità, della persistenza e dell’accumulo i suoi punti centrali.

Tra febbraio e settembre 2025, analizza il report, il gruppo legato al Gru ha infatti ampliato e affinato le proprie operazioni di raccolta credenziali, con un’elevata coerenza strategica dei target e secondo una dottrina consolidata.

Il modus digitandi

Granularità, gradualità e dispersione. La forza delle operazioni risiede nell’uso sistematico di servizi legittimi. BlueDelta impersona portali reali, Outlook Web Access, Google, Sophos Vpn, replica interfacce autentiche e, dopo il furto delle credenziali, reindirizza la vittima verso siti ufficiali. Webhook.site, InfinityFree, Byet Internet Services, ngrok. Tutte infrastrutture gratuite, temporanee e sacrificabili. La logica è chiara e segue un calcolo rischi-benefici. Ridurre i costi, aumentare la resilienza, complicare l’attribuzione. Ogni pagina di phishing diventa un tassello intercambiabile, pronto a sparire, una volta utilizzato, senza lasciare tracce rilevanti.

La leva cognitiva

Uno degli elementi più interessanti emersi dal report riguarda l’uso di documenti Pdf autentici come esca. Le pubblicazioni del Gulf Research Center o dell’EcoClimate Foundation vengono caricate nel browser della vittima prima della richiesta di login. La scelta di questi contenuti, più che scenografica, è cognitiva. BlueDelta fa leva sull’autorevolezza delle fonti, utilizzando un contesto professionale e la familiarità tematica dei contenuti per abbassare le difese degli utenti. Più che tecnica e capacità in rete, psicologia operativa applicata.

Dal furto alla strategia

L’analisi di Recorded Future mostra anche un’evoluzione nel codice: funzioni JavaScript riutilizzate, corrette, adattate. Il gruppo hacker legato al Gru non inventa nuove modalità ma ottimizza quelle già esistenti. Quindi automatizza la raccolta dei dati, invia beacon di apertura pagina, cattura indirizzi e-mail già presenti nei link di phishing. Da qui, ogni dettaglio riduce il lavoro manuale e aumenta la scalabilità dell’operazione

Il punto non è però il singolo attacco ma l’insieme di questi. Il credential harvesting rimane una delle armi preferite dell’intelligence russa perché offre accesso persistente. Una credenziale valida apre caselle e-mail, Vpn, reti interne. E il valore informativo è rilevante perché persiste nel tempo e segue una strategia che evolve con nuove esche, maggiore localizzazione linguistica, ulteriore abuso di servizi legittimi, senza mai innescare campagne di massa, ma applicando una pressione costante su target ad alto valore strategico. Qui il Gru continuerà ad investire.

Archivi

James Bond

Cyberattacchi e furto di credenziali. Ecco il modello BlueDelta al servizio del Gru

Di Jacopo Marzano

Dalla ricerca energetica turca ai think tank europei, Mosca continua a investire nel credential harvesting come strumento a basso costo e ad alto rendimento. L’ultima analisi di Recorded Future mostra come la cyber intelligence russa raffini metodi, bersagli e narrazione

Politica

Vi spiego la connessione (sinistra) tra pro Hamas e pro Maduro. Parla Concia

Di Federico Di Bisceglie

La manifestazione di solidarietà a Hannoun in programma il 10 gennaio a Milano diventa il simbolo di una sinistra che, secondo Anna Paola Concia, rinuncia all’equilibrio per inseguire le frange più radicali. Dal silenzio del Pd all’attivismo dei 5 Stelle, fino al legame tra mondo Pro Pal e difesa del regime di Maduro, l’ex parlamentare denuncia una deriva massimalista e intollerante che soffoca il pluralismo storico della sinistra italiana

Difesa

Ecco tutte le ragioni che rendono la Groenlandia importante sul piano militare

Di Riccardo Leoni

Risorse minerarie? Molte. Giacimenti di gas e petrolio? Anche. Eppure, la vera importanza strategica della Groenlandia risiede nella sua posizione geografica e nei vantaggi che offre sul piano militare. Intelligence e difesa missilistica, ma non solo. Ecco perché il territorio autonomo danese rappresenta un asset strategico di immenso valore. E perché fa gola a molti

Esteri

In Medio Oriente l’instabilità è istituzionalizzata. Dentice spiega perché

Di Emanuele Rossi

Dall’Iran al Golfo, da Gaza alla Cisgiordania, il Medio Oriente resta intrappolato in un sistema di crisi simultanee e non convergenti. Secondo Giuseppe Dentice l’assenza di soluzioni politiche credibili istituzionalizza l’instabilità e restringe gli spazi per una de-escalation duratura

Economia

Lukoil a pezzi. La mossa di Chevron che punta al petrolio russo

Di Gianluca Zapponini

Una delle maggiori compagnie americane, l’unica a essere presente in Venezuela, è pronta rilevare il grosso degli asset della big oil russa, finita tre mesi fa sotto il fuoco delle sanzioni. E così le manovre Usa sul greggio si fanno sempre più ambiziose

Politica

Francesco Paolo Casavola, maestro di virtù civili. Il ricordo di Nicotri

Di Francesco Nicotri

“Fuori dalle spire capziose di dibattiti dottrinali, in accademiche querelles di antico e moderno, di moderno e antimoderno, di occidente e di oriente, oggi va costruita una cultura che sappia leggere il moto storico per non subire, ma in consistente misura dominare, il futuro del mondo”. Francesco Nicotri ricorda Francesco Paolo Casavola, presidente della Corte costituzionale tra il 1992 e il 1995, scomparso nei giorni scorsi a 94 anni

Esteri

In che modo l’Iran in crisi identitaria si lega al Venezuela. Risponde Terzi

Di Emanuele Rossi

Le proteste che attraversano l’Iran non sono una crisi congiunturale, ma il segnale di un possibile punto di non ritorno per il regime dei mullah. Dalla repressione violenta alla dimensione internazionale della minaccia iraniana, fino alle responsabilità dell’Occidente e ai collegamenti con altri regimi autoritari, nella conversazione con il senatore Giulio Terzi di Sant’Agata, presidente della Commissione per le Politiche uropee del Senato

Verde e blu

Gas e geopolitica, la stabilità nel Mediterraneo passa da Cronos e Zohr

Di Francesco De Palo

Come cambia la politica energetica nel mare nostrum alla luce dei due giacimenti-jolly per Cipro ed Egitto che nel febbraio 2025 hanno siglato un accordo con Eni e TotalEnergies per esportare il gas naturale del Blocco 6 di Cipro (Cronos) attraverso l’Egitto. Ma le tensioni con Ankara non mancano

Esteri

Non solo Maduro (e Delcy). Chi guida il regime in Venezuela

Di Rossana Miranda

Vladimir Padrino Lopez, Diosdado Cabello e Jorge Rodriguez (fratello di Delcy, l’attuale presidente del regime) guidano ancora il sistema di repressione nel Paese sudamericano. Chi sono e cosa hanno fatto (finora)

Difesa

Difesa Usa, dalle parole ai contratti. La linea Hegseth sull’industria

Di Marco De Robertis

Il discorso di Pete Hegseth all’industria della difesa segna una svolta tra ambizioni strategiche e vincoli produttivi. Al richiamo all’Arsenale di libertà per le maestranze si affianca un avvertimento ai contractor su costi, tempi e responsabilità. Le parole trovano riscontro nel nuovo modello di appalti del Pentagono, pensato per dare continuità agli ordini e accelerare la produzione di intercettori, rafforzando deterrenza e credibilità degli impegni Usa

×

Iscriviti alla newsletter