Gli autori delle minacce sfruttano le cause sociali per manipolare il comportamento degli utenti
10 febbraio 2026
A cura del Mimecast Threat Research Team
- Campagne di phishing che sfruttano i temi del Mese dell’Orgoglio per suscitare reazioni emotive e aggirare le misure di sensibilizzazione in materia di sicurezza
- La campagna si è svolta in due fasi distinte: nel dicembre 2025, con 504 obiettivi, seguita da un’escalation nel gennaio 2026 che ha portato il numero di obiettivi a 4.768, per un totale di 5.272 organizzazioni negli Stati Uniti, nel Regno Unito, in Germania, in Australia, in Sudafrica, in Canada e in altre regioni
- Le tecniche di attacco sono in linea con i metodi utilizzati dagli attori malintenzionati Scattered Spider, CryptoChameleon e PoisonSeed
- La campagna di dicembre era incentrata sui servizi finanziari e sulla consulenza; quella di gennaio ha spostato l’attenzione sui settori IT, SaaS e della vendita al dettaglio, pur mantenendo il targeting sui servizi finanziari, il che indica un’ottimizzazione del targeting o l’esistenza di più operazioni coordinate
Panoramica della campagna
Il team di ricerca sulle minacce di Mimecast ha individuato alcuni autori di attacchi che sfruttano cause sociali, in particolare il Mese dell’Orgoglio e le iniziative a favore della diversità, per indurre le organizzazioni a compiere azioni affrettate. Queste campagne sfruttano deliberatamente in modo improprio i valori legittimi dell’organizzazione per creare quel senso di urgenza di cui gli autori degli attacchi hanno bisogno per riuscire a sottrarre le credenziali.
Questa strategia è particolarmente efficace poiché fa leva sul sincero impegno dell’organizzazione a favore della diversità e dell’inclusione. Indipendentemente dal fatto che i destinatari siano favorevoli o contrari all’iniziativa, gli autori degli attacchi contano sul fatto che entrambe le reazioni portino a interagire con i link dannosi senza un’adeguata verifica.
È da notare che questa campagna è stata lanciata a metà dicembre, mesi prima del Pride Month di giugno. Ciò suggerisce che gli autori delle minacce stiano pianificando in anticipo o testando messaggi che potrebbero trovare riscontro nelle campagne future. Tale periodo coincide inoltre con le festività di fine anno, durante le quali molte organizzazioni operano con un organico IT ridotto e un monitoraggio della sicurezza limitato, condizioni che favoriscono il successo delle operazioni di phishing.
Fasi della campagna e intensificazione
La campagna si è articolata in due operazioni distinte. L'ondata del dicembre 2025 ha preso di mira 504 organizzazioni, principalmente negli Stati Uniti (62%) e nel Regno Unito (20%), concentrandosi in particolare sui servizi finanziari, sui servizi professionali e sulle società di consulenza. Sembra che si sia trattato di una fase di ricognizione o di prova.
L’ondata del gennaio 2026 ha rappresentato un aumento di 9,5 volte, prendendo di mira 4.768 organizzazioni in un’area geografica più ampia. Sebbene gli Stati Uniti e il Regno Unito siano rimasti gli obiettivi principali (rispettivamente 57% e 21% ), la campagna ha ora colpito in modo significativo anche la Germania, l’Australia, il Sudafrica e il Canada. Anche i settori presi di mira hanno subito un cambiamento: gli attacchi nel settore IT e SaaS sono passati dal 6% al 13%, quelli nel settore della vendita al dettaglio dal 4% al 7%, mentre i servizi finanziari sono rimasti una priorità assoluta con il 13%. Ciò fa supporre che si tratti o di operazioni multiple coordinate oppure di un’ottimizzazione attiva della selezione degli obiettivi sulla base dei risultati di dicembre.
Il metodo di attacco
Le e-mail sostengono che, in base alle direttive della dirigenza e in linea con i valori aziendali, alle intestazioni e ai piè di pagina delle e-mail a tema Pride verranno applicati automaticamente agli account aziendali. Ai destinatari viene offerta la possibilità di rinunciare, creando un falso senso di autonomia mentre vengono indirizzati verso link dannosi.
Si tratta di ingegneria sociale intenzionale. I destinatari che sostengono l'iniziativa possono cliccare qui per saperne di più. Chi non è d'accordo clicchi qui per rinunciare. Entrambe le risposte vanno a vantaggio dell’autore dell’attacco: l’interazione con il link precede l’analisi approfondita.
Le e-mail inviate nel mese di gennaio si sono evolute fino a includere prefissi nell’oggetto basati su profili personali, il che suggerisce che gli autori degli attacchi stiano assumendo l’identità di individui specifici per aumentare la percezione di legittimità e aggirare i filtri basati sul mittente.
Una volta cliccato, agli utenti viene visualizzata una pagina di verifica CAPTCHA (una tattica comunemente utilizzata dagli autori degli attacchi per eludere il rilevamento e filtrare gli utenti) prima di essere reindirizzati a pagine volte al furto delle credenziali che imitano le interfacce di accesso di SendGrid.
Sfruttamento delle infrastrutture e della catena di approvvigionamento
Gli autori degli attacchi sfruttano account SendGrid compromessi, una piattaforma legittima per l’invio di e-mail di massa, per distribuire messaggi su scala aziendale. Gli URL dannosi reindirizzano, tramite l’infrastruttura di SendGrid, verso domini controllati dagli autori dell’attacco, tra cui lgbtsendgrid[.]com e lgbt-sg[.]com.
Questo approccio è un esempio di un modello più ampio di attacco alla catena di approvvigionamento osservato in diverse campagne di minaccia. Compromettendo i fornitori di servizi CRM e di posta elettronica quali SendGrid, Mailchimp, HubSpot e altri, gli autori delle minacce ottengono l’accesso a infrastrutture consolidate e a elenchi di contatti che conferiscono credibilità ai loro messaggi di phishing. Questa tattica è particolarmente efficace poiché i destinatari ricevono e-mail provenienti da servizi affidabili o da account interni all’azienda, aggirando così le barriere iniziali di fiducia. Spesso le organizzazioni esercitano un controllo meno rigoroso sugli account dei servizi di terze parti rispetto all’infrastruttura nativa, creando ulteriori opportunità per gli autori degli attacchi di agire con il minimo rischio di essere individuati.
Una volta che le credenziali vengono sottratte e vengono create chiavi API per garantire la persistenza, questi account compromessi diventano uno strumento per diffondere attacchi di phishing su larga scala. Altre campagne di attacchi hanno utilizzato questa stessa infrastruttura per prendere di mira piattaforme di criptovalute, raccogliere liste di indirizzi e-mail e condurre operazioni di spam su larga scala, dimostrando che i fornitori di servizi di posta elettronica sono ormai un obiettivo primario nelle strategie degli autori degli attacchi.
Attribuzione delle campagne
Sebbene sia difficile attribuire con certezza la responsabilità, le tecniche osservate presentano caratteristiche in comune con le operazioni di minaccia condotte da Scattered Spider, CryptoChameleon e PoisonSeed:
- Sfruttamento dell’infrastruttura di un fornitore legittimo di servizi di posta elettronica
- Convenzioni di denominazione dei domini che imitano servizi affidabili
- Concentrarsi sulla raccolta delle credenziali per consentire attacchi a valle
- Rivolto alle organizzazioni aziendali operanti in diversi settori
Il panorama più ampio delle minacce
Queste campagne rientrano in un modello di attacco più ampio, in cui gli autori delle minacce compromettono i sistemi CRM e i fornitori di servizi di posta elettronica per diffondere attacchi di phishing su larga scala. Sottraendo le credenziali da piattaforme quali Mailchimp, SendGrid e HubSpot, gli autori degli attacchi inviano messaggi fraudolenti che sembrano provenire da fonti interne o partner affidabili.
Recenti ricerche sulle minacce hanno individuato diverse campagne coordinate rivolte alla stessa infrastruttura di posta elettronica, il che indica che si tratta ormai di una strategia di attacco consolidata piuttosto che di un caso isolato. Sembra che le organizzazioni siano prese di mira in modo sistematico, sia per le loro caratteristiche che le rendono un’infrastruttura di attacco, sia per i loro elenchi di contatti che consentono di raggiungere obiettivi di alto valore. Ciò significa che la protezione di SendGrid, Mailchimp e piattaforme simili rappresenta ormai una componente fondamentale della strategia di sicurezza delle e-mail aziendale, non limitandosi alla sola gestione delle infrastrutture on-premise o direttamente nel cloud.
Questo approccio affronta una sfida ricorrente per gli autori degli attacchi: indurre i destinatari all’interno delle organizzazioni a interagire con i messaggi di phishing. Il ricorso a servizi legittimi e a cause sociali di attualità aumenta la credibilità e i tassi di coinvolgimento rispetto al phishing di massa tradizionale.
Protezione Mimecast
Mimecast ha implementato funzionalità di rilevamento volte a identificare le campagne che sfruttano infrastrutture di servizi di posta elettronica legittime per scopi dannosi. Il nostro team di ricerca sulle minacce continua a monitorare l’evoluzione delle tattiche e le variazioni dei domini utilizzati da queste operazioni malevole.
Obiettivi primari
Organizzazioni distribuite in 8 paesi tra Nord America, Europa e Africa meridionale. Mercati di riferimento principali per regione: Stati Uniti (58% e del totale), Regno Unito (21%), Australia, Germania, Sudafrica, Canada e altri.
Indicatori di compromissione (IOC)
I domini dannosi che prendono di mira la comunità LGBTQ
- lgbtsendgrid[.]com
- gbt-sg[.]com
Argomenti relativi alla comunità LGBT
- Aggiornamento sul tema del Pride Month
- Un messaggio dal nostro team
- Aggiornamento sulla personalizzazione grafica delle e-mail
Campagne simili - Domini dannosi
- https-sendgrid[.]info
- https-sglogin[.]com
- https-sgpartners[.]info
- https-sgportal[.]com
- id-unlink[.]com
- internal-ssologin[.]com
- legalcompliance-login[.]com
- login-enterprisesso[.]com
- login-request[.]com
- login-sgdashboard[.]com
- loginportalsg[.]com
- manage-sgdashboard[.]com
- myhubservices[.]com
- mysandgrid[.]com
- navigate-sendgrid[.]com
- network-sendgrid[.]com
- open-sglogin[.]com
- >partnerdashboard-sglogin[.]com
- portal-sendgrld[.]com
- establish-sendgrid[.]com
Argomenti di campagne simili
- L'endpoint API non risponde
- L'endpoint API non risponde
- Chiave API generata
- Problema relativo alla consegna delle richieste API
- Aggiornamento della politica relativa alle richieste API
- Richieste API non consegnate
- Errore nell'URL di callback
- Scadenza dei record di autenticazione del dominio
- Rilevato un problema di connessione all'endpoint
- Rilevato un errore nell'endpoint del gateway
- È stato rilevato un nuovo accesso
- Raggiunto il limite di rate limit dell'API di SendGrid
- Capacità di invio raggiunta
- Avviso di servizio
- Problema di configurazione del modello
- L'endpoint del webhook non risponde
- Endpoint webhook che restituisce errori
Raccomandazioni
Formazione sulla sensibilizzazione alla sicurezza degli utenti
- Si invitano i dipendenti a informarsi sulle tattiche di ingegneria sociale che sfruttano le reazioni emotive suscitate da argomenti di natura sociale o politica.
- Si sottolinea che le modifiche legittime alle politiche da parte della dirigenza esecutiva seguono di norma i canali di comunicazione interni prestabiliti, e non tramite link e-mail esterni
- Formare gli utenti affinché verifichino le notifiche relative alle politiche aziendali inattese tramite comunicazione diretta con i reparti Risorse Umane o IT
- Effettuare simulazioni di phishing che includano tematiche sociali di forte impatto emotivo per sviluppare la capacità di riconoscimento
Ricerca proattiva delle minacce
- Cercare nei registri delle ricevute e-mail i messaggi provenienti da Sendgrid e con gli oggetti elencati
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!