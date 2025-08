Microsoft ha scoperto una campagna di cyberspionaggio effettuata dal gruppo Secret Blizzard (finanziato dal governo russo) contro il personale delle ambasciate straniere a Mosca. I cybercriminali hanno usato la tecnica AitM (Adversary-in-the-Middle) per distribuire lo spyware ApolloShadow a livello di ISP (Internet Service Provider). Il malware sfrutta certificati root che sembrano aggiornamenti degli antivirus Kaspersky.

Descrizione degli attacchi di spionaggio

Microsoft ha rilevato gli attacchi a partire dal mese di febbraio. Per la campagna di cyberspionaggio più recente è stato ottenuto l’accesso iniziale ai computer Windows delle vittime attraverso la tecnica AitM. I cybercriminali del gruppo Secret Blizzard hanno preso il controllo delle reti degli ISP e degli operatori di telecomunicazioni in Russia (ovviamente con il permesso del governo) per intercettare le richieste provenienti dalle ambasciate straniere.

Quando l’utente accede ad un “captive portal”, pagine web usate per il login ad un servizio, il browser viene reindirizzato verso un dominio controllato dai cybercriminali. L’ignara vittima vede quindi un messaggio di errore relativo ad un certificato scaduto. Se effettua il download suggerito viene installato ed eseguito ApolloShadow. Il malware mostra un pop-up per scaricare il file CertificateDB.exe che sembra l’installer di un antivirus Kaspersky. In realtà permette di ottenere privilegi elevati e la persistenza nel sistema.

ApolloShadow consente in pratica di intercettare il traffico e accedere da remoto ai computer del personale delle ambasciate. Lo scopo è ovviamente raccogliere dati riservati che possono essere utili al governo russo. Microsoft ha pubblicato tutti i dettagli tecnici e suggerito alcune misure protettive, tra cui l’uso di una VPN o di provider che offrono connessioni satellitari.

Aggiornamento

Questo è il commento di Kasperky sulla vicenda: