L'usurpazione dell'identità di Services Australia è alla base di un'operazione di furto di credenziali che si protrae per tutto l'anno

17 ottobre 2025

Di Ankit Gupta, Hiwot Mendahun e il team di ricerca sulle minacce di Mimecast

Panoramica della campagna

Il team di ricerca sulle minacce di Mimecast continua a monitorare MCTO3001, un’operazione di raccolta di credenziali di lunga durata che, dal 2023, prende di mira in modo specifico le organizzazioni australiane. MCTO3001 opera tutto l'anno proponendo temi sempre nuovi, sfruttando l'autorevolezza e la fiducia associate alle comunicazioni governative. Gli autori delle minacce alla base di MCTO3001 adottano un approccio tattico coerente, avvalendosi prevalentemente di account di posta elettronica compromessi insieme a servizi legittimi di invio di e-mail di massa, tra cui SendGrid, Mailgun e l’infrastruttura di Office 365.

Una caratteristica distintiva del MCTO3001 è l’uso sistematico del dominio .gov.au o il riferimento a nomi di visualizzazione contenenti la parola “gov”, abbinati a un’infrastruttura di invio non governativa. Le intestazioni delle e-mail presentano sistematicamente campi del destinatario falsificati o del tutto assenti nelle intestazioni "To:", il che indica una manipolazione delle intestazioni delle e-mail volta a eludere il rilevamento, pur mantenendo l’apparenza di una corrispondenza ufficiale governativa. L'operazione si presenta strategicamente come Services Australia, avvalendosi di una conoscenza approfondita dei sistemi previdenziali australiani, tra cui la pensione di anzianità (Superannuation), Medicare, i sussidi per chi cerca lavoro (JobSeeker) e gli sgravi fiscali per le famiglie (Family Tax Benefits).

Analisi dell'ultima campagna

L'ultima campagna di phishing denominata MCTO3001 prende di mira gli utenti australiani, in particolare coloro che dispongono di un account Centrelink. L'esca principale utilizzata in questa campagna è un’e-mail in cui si sostiene che un "abbia rilevato un accesso" o un tentativo di accesso sospetto all’account Centrelink del destinatario.

L'e-mail, redatta in modo da imitare fedelmente le comunicazioni ufficiali di Centrelink o myGov, esorta il destinatario a verificare il proprio account cliccando su un link fornito. Questa tattica di ingegneria sociale fa leva sull'urgenza e sulla paura, spingendo gli utenti ad agire in fretta e senza la dovuta cautela.

Non appena la vittima clicca sul link, viene reindirizzata a una pagina di accesso fasulla di MyGov, creata appositamente per sottrarle le credenziali

Una caratteristica tecnica fondamentale di questa campagna è l’uso improprio di Portmap.io, un servizio legittimo di tunneling inverso. Portmap.io consente agli utenti di rendere accessibili su Internet i server locali creando URL pubblici che reindirizzano il traffico verso un computer situato dietro un NAT o un firewall.

Gli autori di minacce come MCTO3001 sfruttano questo servizio per pubblicare rapidamente siti di phishing senza dover registrare nuovi domini né acquistare servizi di hosting. Ogni attacco di phishing può utilizzare un sottodominio e una porta univoci, generati in modo casuale (ad esempio, hxxps://michdev-44475[.]portmap[.]io:44475/wett/tat/), rendendo difficile per gli addetti alla sicurezza bloccare o inserire l'infrastruttura nella lista nera. L'uso di Portmap.io complica inoltre l'attribuzione, poiché la vera origine del server di phishing è nascosta dietro l'infrastruttura del servizio, e questi tunnel consentono agli autori degli attacchi di modificare rapidamente o smantellare la propria infrastruttura per eludere i tentativi di individuazione e di disattivazione.

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento specificamente mirate ai modelli di impersonificazione del governo australiano utilizzati da MCTO3001, tra cui l’analisi degli stili di comunicazione di Services Australia e della terminologia relativa alla sospensione delle prestazioni.

Obiettivi

Un ampio raggio d’azione che abbraccia diversi settori e industrie australiani

Indicatori di compromissione

URL dannosi:

• hxxps://myatoclaimc[.]replit[.]app/
• hxxps://gqr[.]sh/Tbdf
• hxxps://theuniversaldynamic[.]com/shared/
• hxxps://primeraeventsmanagementcompany[.]com/ads
• hxxps://myatoclaima[.]replit[.]app/
• hxxps://nwenwi[.]replit[.]app
• hxxps://digitalpath[.]co[.]in/ads
• hxxps://myaunamend[.]replit[.]app
• hxxps://aunewclmmmm[.]replit[.]app
• hxxps://tirini[.]net/pqoieer/
• hxxps://luyret[.]replit[.]app
• hxxps://auclaimnow[.]replit[.]app
• hxxps://aunewmyclmm[.]replit[.]app

Modelli comuni di oggetto dell'e-mail:

• Ha ricevuto una comunicazione relativa alla presentazione della dichiarazione per l'anno 2024-2025
• È disponibile un aggiornamento importante su myGov
• Team fiscale australiano
• Nuovo aggiornamento di Centralink 2025
• Il Suo rimborso tramite bonifico elettronico è pronto
• Nuovo messaggio nella Posta in arrivo
• Aggiornamento sull'avviso di rimborso!!!
• Nuovo messaggio
• myGov: Avviso di pagamento in sospeso
• Una nuova notifica nel Suo account myGov
• Nuovo messaggio relativo al pagamento
• Nuovo messaggio per il 2025
• Abbiamo inviato una comunicazione relativa alle informazioni fiscali
• Nuova valutazione del reddito per il 2025
• Acceda al Suo estratto conto aggiornato tramite myGov

Raccomandazioni

Ricerca proattiva delle minacce:

• Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne

Sensibilizzazione alla sicurezza:

• Sensibilizzare gli utenti sulle tattiche di usurpazione d’identità utilizzate nei confronti di Services Australia e Centrelink,
• Condurre simulazioni di phishing che includano scenari di sospensione urgente dell’account da parte di Services Australia, rivolte specificatamente ai dipendenti del settore dell’istruzione
• Si sottolinea che le comunicazioni ufficiali del governo vengono solitamente trasmesse tramite portali governativi sicuri