Passa ai contenuti principali

L’ombra lunga di APT36. Phishing nel 2025? Funziona ancora. Eccome

A volte sembra che il mondo della cybersecurity corra troppo veloce per i criminali comuni. Eppure, poi leggi notizie come quella di APT36 – un gruppo hacker pakistano legato a operazioni di spionaggio militare – che prende di mira ufficiali della Difesa indiana con una semplice email di phishing... e capisci che la vera arma non è il malware, ma la psicologia. 

Pakistan vs India: una rivalità lunga quanto il dopoguerra

Per capire il contesto serve un minimo di geopolitica. India e Pakistan non si sopportano praticamente dalla nascita. Dal 1947 ad oggi, si sono fronteggiati in guerre aperte, crisi nucleari, scontri di confine in Kashmir e battaglie diplomatiche all’ONU. La cybersecurity è solo il nuovo fronte di un conflitto eterno.

Nel grande risiko globale:
  • India è allineata con Stati Uniti, Israele e Francia in ambito militare e tecnologico.
  • Pakistan è storicamente vicino alla Cina, ma mantiene forti legami con la Turchia e, in parte, con l’Iran.
  • Gli USA hanno fornito armi sia a India che Pakistan in momenti diversi, ma oggi puntano decisamente sull’India come contrappeso alla Cina.

APT36 (noto anche come Transparent Tribe) è un gruppo APT (Advanced Persistent Threat) attribuito al Pakistan e attivo almeno dal 2013. I suoi obiettivi principali sono:
  • Personale militare indiano
  • Istituzioni governative
  • Organizzazioni accademiche e di ricerca
Il gruppo è stato più volte collegato ai servizi segreti pakistani, e le sue attività puntano chiaramente a raccogliere informazioni riservate, credenziali di accesso, movimenti militari e documenti classificati.

Il vettore dell’attacco scoperto di recente è quasi disarmante per la sua semplicità: email di phishing ben congegnate inviate a membri della difesa indiana.
  • Oggetto accattivante e contestualizzato (es. “Notification for transfer” o “Training schedule”).
  • Documento allegato (spesso un .zip, .pdf o .docx) che contiene malware infostealer.
  • Link a siti compromessi o cloni di portali governativi, che chiedono il login.
Il punto forte dell’attacco? L’ingegneria sociale: nomi, sigle, linguaggio, firma e grafica imitano quelli autentici usati nel contesto militare indiano. Il bersaglio abbassa la guardia.
Siamo nel pieno dell’era Zero Trust, delle passwordless login e della MFA ovunque, eppure... il phishing resta la tecnica d’attacco più efficace al mondo. Perché?

Perché l’anello debole non è il software, ma l’essere umano.
  • Un ufficiale stanco, distratto o troppo fiducioso clicca.
  • Nessun antivirus può prevenire una decisione sbagliata.
  • MFA? Se il sito è un perfetto clone, l’attaccante riceve anche quello.
APT36 ha dimostrato che non serve bucare i firewall di una base militare: basta convincere una persona a scaricare il cavallo di Troia. Questa storia ha qualcosa di inquietante: la guerra tra nazioni oggi si combatte su una tastiera, e i nemici non usano sempre exploit zero-day, ma la nostra mente contro di noi. APT36 non ha sfondato firewall o violato VPN. Ha usato soft skills, analisi comportamentale, social engineering. È un buon promemoria per tutti noi: possiamo blindare i sistemi, ma se non formiamo le persone, siamo comunque vulnerabili.
Tag:

Commenti

Posta un commento

Popolari

Attenzione al phishing via Booking.com , un caso reale e subdolo

Di recente, mio fratello mi ha raccontato un'esperienza che merita la massima attenzione. Dopo aver prenotato un hotel tramite Booking.com , ha ricevuto una mail dall’aspetto legittimo con oggetto simile a: "Your reservation is at risk of cancellation" Nel corpo del messaggio, un tono urgente: Hi, There's a page ready for you to visit now. www. xxxxxxxxxx . xxx <- sito truffa Please review it in the next 6 hours. Otherwise, your progress may be affected. Quasi in contemporanea, è arrivato un altro messaggio via "chat di Booking" (mail) , apparentemente dallo stesso hotel prenotato. Stesso contenuto, stesso link. Il phishing camuffato da "verifica prenotazione" Il sito di destinazione era una pagina clonata alla perfezione: Al primo step chiedeva i dati personali. Al secondo step, come prevedibile, chiedeva i dati della carta di credito, con la solita formula "Per motivi di sicurezza, l'importo verrà solo temporaneamente trattenuto e po...
Posta un commento
Continua a leggere »

Dopo le bombe, i byte. La guerra ibrida tra USA, Iran e Israele

Nella notte tra sabato e domenica, le bombe americane hanno colpito i siti nucleari iraniani con una precisione chirurgica che ha fatto rumore nel mondo fisico. Ma mentre le polveri si depositavano a Fordow e Isfahan, un altro fronte si apriva, invisibile agli occhi ma cruciale: il cyberspazio. E lì, non ci sono sirene né detriti, solo silenzi improvvisi nelle connessioni, pacchetti che non arrivano, servizi che collassano. Da quel momento, l’escalation digitale ha cominciato a prendere forma, accelerando quella che è, a tutti gli effetti, una guerra informatica attiva tra Iran, Israele e Stati Uniti. Nei minuti successivi ai bombardamenti, l’Iran ha cominciato a limitare drasticamente l’accesso alla rete. Una mossa difensiva, certo, ma anche preventiva. Staccare i cavi è una strategia antica quanto efficace: nessuna connessione, nessuna infiltrazione, nessuna fuga di dati. È stato documentato un blackout della connettività con punte del 97% in alcune regioni. La linea è semplice: se t...
Posta un commento
Continua a leggere »

Troppo pericolose insieme. Cina e Russia sono davvero alleate?

Secondo un’inchiesta pubblicata dal New York Times, confermata anche dal Financial Times e da fonti ucraine, hacker cinesi avrebbero violato i sistemi informatici russi rubando informazioni militari sensibili, comprese quelle sulla guerra in Ucraina. È un episodio clamoroso che mette in dubbio la tanto sbandierata "partnership senza limiti" tra Vladimir Putin e Xi Jinping. Mentre a livello ufficiale Mosca e Pechino si mostrano unite contro l’Occidente e proclamano intese strategiche, nel cyberspazio sembrano valere altre logiche: quelle del sospetto reciproco e della supremazia informativa. I gruppi cinesi, probabilmente legati all’intelligence di Pechino, hanno preso di mira agenzie statali russe e contractor della difesa, sottraendo piani, analisi e forse perfino vulnerabilità operative. Questa non è una semplice contraddizione, è una crepa. E fa emergere una realtà molto più spietata: l’interesse nazionale viene prima di ogni alleanza ideologica, soprattutto quando si parl...
Posta un commento
Continua a leggere »