Passa ai contenuti principali

L’ombra lunga di APT36. Phishing nel 2025? Funziona ancora. Eccome

A volte sembra che il mondo della cybersecurity corra troppo veloce per i criminali comuni. Eppure, poi leggi notizie come quella di APT36 – un gruppo hacker pakistano legato a operazioni di spionaggio militare – che prende di mira ufficiali della Difesa indiana con una semplice email di phishing... e capisci che la vera arma non è il malware, ma la psicologia. 

Pakistan vs India: una rivalità lunga quanto il dopoguerra

Per capire il contesto serve un minimo di geopolitica. India e Pakistan non si sopportano praticamente dalla nascita. Dal 1947 ad oggi, si sono fronteggiati in guerre aperte, crisi nucleari, scontri di confine in Kashmir e battaglie diplomatiche all’ONU. La cybersecurity è solo il nuovo fronte di un conflitto eterno.

Nel grande risiko globale:
  • India è allineata con Stati Uniti, Israele e Francia in ambito militare e tecnologico.
  • Pakistan è storicamente vicino alla Cina, ma mantiene forti legami con la Turchia e, in parte, con l’Iran.
  • Gli USA hanno fornito armi sia a India che Pakistan in momenti diversi, ma oggi puntano decisamente sull’India come contrappeso alla Cina.

APT36 (noto anche come Transparent Tribe) è un gruppo APT (Advanced Persistent Threat) attribuito al Pakistan e attivo almeno dal 2013. I suoi obiettivi principali sono:
  • Personale militare indiano
  • Istituzioni governative
  • Organizzazioni accademiche e di ricerca
Il gruppo è stato più volte collegato ai servizi segreti pakistani, e le sue attività puntano chiaramente a raccogliere informazioni riservate, credenziali di accesso, movimenti militari e documenti classificati.

Il vettore dell’attacco scoperto di recente è quasi disarmante per la sua semplicità: email di phishing ben congegnate inviate a membri della difesa indiana.
  • Oggetto accattivante e contestualizzato (es. “Notification for transfer” o “Training schedule”).
  • Documento allegato (spesso un .zip, .pdf o .docx) che contiene malware infostealer.
  • Link a siti compromessi o cloni di portali governativi, che chiedono il login.
Il punto forte dell’attacco? L’ingegneria sociale: nomi, sigle, linguaggio, firma e grafica imitano quelli autentici usati nel contesto militare indiano. Il bersaglio abbassa la guardia.
Siamo nel pieno dell’era Zero Trust, delle passwordless login e della MFA ovunque, eppure... il phishing resta la tecnica d’attacco più efficace al mondo. Perché?

Perché l’anello debole non è il software, ma l’essere umano.
  • Un ufficiale stanco, distratto o troppo fiducioso clicca.
  • Nessun antivirus può prevenire una decisione sbagliata.
  • MFA? Se il sito è un perfetto clone, l’attaccante riceve anche quello.
APT36 ha dimostrato che non serve bucare i firewall di una base militare: basta convincere una persona a scaricare il cavallo di Troia. Questa storia ha qualcosa di inquietante: la guerra tra nazioni oggi si combatte su una tastiera, e i nemici non usano sempre exploit zero-day, ma la nostra mente contro di noi. APT36 non ha sfondato firewall o violato VPN. Ha usato soft skills, analisi comportamentale, social engineering. È un buon promemoria per tutti noi: possiamo blindare i sistemi, ma se non formiamo le persone, siamo comunque vulnerabili.
Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »