Un attacco di ingegneria sociale incentrato sui conflitti diffonde RAT in tutta l’Europa orientale

17 ottobre 2025

Di Samantha Clarke e del team di ricerca sulle minacce di Mimecast

Punti principali

MCTO1025, noto anche come UCA-0050, è un gruppo criminale informatico che ha condotto una campagna prolungata, durata un anno, rivolta contro l’Ucraina, la Romania e la Moldavia, operando da un’infrastruttura ASN single
Sofisticate campagne di ingegneria sociale che si spacciano per i servizi di sicurezza ucraini e russi, piani di evacuazione e comunicazioni relative alla mobilitazione militare
Notevole attacco informatico ai danni del canale televisivo moldavo TV8, utilizzato nel gennaio 2024 per operazioni di autopromozione e disinformazione da parte di un gruppo
Campagne di reclutamento che offrono "un passaggio sicuro" verso la Russia, volte a facilitare le operazioni di riciclaggio di denaro e la raccolta di informazioni
La distribuzione di malware si concentra su trojan di accesso remoto di uso comune, tra cui QasarRAT, RemoteUtilities, RemcosRAT e RuRAT
Tra i recenti sviluppi della campagna figura l’utilizzo del loader AnonVNC mediante l’usurpazione dell’identità dei servizi di sicurezza ucraini

Panoramica della campagna

Il team Mimecast Threat Research continua a monitorare l’attività malevola protratta nel tempo condotta dal 2023 da MCTO1025, un gruppo di criminali informatici che ha mantenuto operazioni costanti rivolte all’Ucraina e ai paesi confinanti, ovvero la Romania e la Moldavia. Questa operazione dimostra una comprensione approfondita delle tensioni geopolitiche regionali e sfrutta tematiche legate ai conflitti per ottenere elevati tassi di coinvolgimento delle vittime tra le popolazioni destinatarie. Le operazioni MCTO1025 comprendono diversi approcci di ingegneria sociale volti a sfruttare la situazione di conflitto in corso e le relative problematiche umanitarie.

I temi della campagna includono l’usurpazione dell’identità dei servizi di sicurezza ucraini e russi, la diffusione di falsi piani di evacuazione in caso di attacchi aerei, comunicazioni fraudolente relative alla mobilitazione militare e offerte di passaggio sicuro dalle zone di conflitto.

Campagne di rilievo nel 2024

TV8 Moldova Hack

All'inizio di gennaio 2024, l'account e-mail del canale televisivo moldavo TV8 è stato violato e utilizzato per inviare messaggi con oggetto «Comunicato stampa di TV8 - Пресс - Релиз от телекомпании TV8», in cui veniva proposta un'intervista al fondatore di un gruppo. Tradotta dall’originale in russo, la seguente spiegazione è apparsa su mediacritica.md: [L'indirizzo e-mail ufficiale di TV8 è stato oggetto di un attacco informatico. Commento del canale televisivo - Mediacritica ]

Nella notte tra l'8 e il 9 gennaio, l'indirizzo e-mail ufficiale di TV8 è stato oggetto di un attacco informatico. Secondo quanto riportato dal media, gli autori dell’attacco, a nome del canale televisivo, hanno inviato un messaggio a diverse persone e agenzie, affermando che un giornalista della redazione del sito web Tv8.md aveva intervistato il fondatore del gruppo di hacker DaVinci Group-DVG8873, che si autodefinisce una forza informatica indipendente " contro l’Ucraina e i paesi della NATO." In un commento rilasciato a Mediacritica, la caporedattrice di TV8, Mariana Rață, ha sottolineato che non è la prima volta che i media moldavi sono oggetto di attacchi informatici.

Secondo le verifiche effettuate dai tecnici di TV8, l’attacco è stato sferrato da un indirizzo IP gestito da un host situato ad Amsterdam, nei Paesi Bassi. "Il proprietario della società di hosting è la società britannica Aeza International LTD, fondata da un cittadino del Kazakistan, Marat Timurov. Aeza International è una delle società di hosting più popolari in Russia ed è presentata su diversi siti specializzati come azienda russa. TV8 ha contattato questa società chiedendo informazioni sugli utenti dell’indirizzo IP da cui è stato sferrato l’attacco informatico, ma non abbiamo ancora ricevuto risposta, ha dichiarato Mariana Rață, di"

Secondo la fonte, «quella stessa notte, anche la posta elettronica dell’azienda statale Moldelectrica è stata oggetto di un attacco informatico simile». Lo stesso messaggio di testo è stato inviato dall’indirizzo e-mail aziendale di Moldelectrica.”

Le campagne di molestie online, l’hacking degli account sui social media, gli attacchi DDoS (Distributed Denial of Service) o il phishing sono solo alcune delle minacce digitali che la stampa della Repubblica di Moldavia deve affrontare, secondo uno studio pubblicato dall’Independent Journalism Center. I rappresentanti di diverse testate giornalistiche oggetto dello studio hanno segnalato che nel 2023, in particolare nei mesi di agosto e settembre, i loro siti web sono stati oggetto di attacchi DDoS, che hanno causato interruzioni del servizio della durata compresa tra pochi minuti e diverse ore.

Il responsabile del portale SP.md, Veaceslav Perunov, ha confermato che il sito da lui gestito è stato oggetto di attacchi DDoS nell’agosto 2023, periodo in cui diverse testate giornalistiche hanno subito contemporaneamente questo fenomeno. «Il sito è andato in tilt, ma non per molto.» «Il nostro server ha retto», ha affermato Perunov. Renata Lupachescu, redattrice del portale Studio-L, ha parlato dell’attacco avvenuto nel settembre 2023: «Siamo stati vittime di un attacco DDoS; il sito è andato in tilt e non ha funzionato per circa quattro ore, poi abbiamo risolto il problema». Nel periodo ottobre-novembre 2023, Nokta.md è stato oggetto di attacchi DDoS per quattro o cinque volte, mentre TV8 ha subito tali attacchi per tre volte

Un passaggio sicuro verso la Russia

Verso la fine di gennaio 2024, il gruppo ha iniziato a inviare e-mail spacciandosi per funzionari dell’FSB, offrendo un «passaggio sicuro» verso la Russia in cambio dello «svolgimento anonimo di incarichi in cambio di compensi monetari». [Tali “incarichi” sono quasi sempre associati al reclutamento di corrieri di denaro.]

AnonVNC Loader

Le campagne condotte a metà agosto 2024 hanno comportato la diffusione di un loader relativamente nuovo, noto come AnonVNC, attraverso iniziative che si spacciavano per i servizi di sicurezza ucraini (SBU). Ciò è stato successivamente confermato dal CERT-UA, [https://cert.gov.ua/article/6280345 ] ma è stata classificata in modo diverso, nonostante le somiglianze con le campagne precedenti.

Ukrainian Geo 3.png

L'analisi tecnica evidenzia la preferenza di MCTO1025 per malware di largo consumo in grado di fornire funzionalità affidabili di accesso remoto, pur mantenendo un basso profilo di rilevabilità. Le modalità di diffusione adottate dal gruppo comprendono sia payload ospitati su URL sia allegati e-mail in formato RAR frazionato, a dimostrazione di una flessibilità tattica volta a eludere vari controlli di sicurezza e a massimizzare il numero di infezioni riuscite in diversi ambienti di destinazione.

Protezione Mimecast

Mimecast ha implementato funzionalità di rilevamento mirate alle tattiche specifiche di MCTO1025, tra cui l’analisi di schemi di ingegneria sociale incentrati sui conflitti, i metodi di distribuzione di RAT di uso comune e l’uso caratteristico da parte del gruppo di piattaforme legittime di condivisione file per l’hosting dei payload.

Obiettivi

Organizzazioni prevalentemente ucraine operanti in tutti i settori, con un’attenzione secondaria rivolta alle entità rumene e moldave, in particolare quelle operanti nei settori governativo, dei media e delle infrastrutture critiche.

Indicatori di compromissione (IOC)

Domini dannosi:

privat24x[.]com
gbshost[.]com
8161[.]uk (pagina iniziale dell'agenzia Da Vinci Special)

URL dannosi:

hxxps://bitbucket[.]org/ukgas/medoc/downloads/scan_docs_023747_medoc.zip
hxxps://bitbucket[.]org/privatbank/obmen/downloads/Електронні_акт_094584_Приватбанк24.7z
hxxps://bitbucket[.]org/filedataup/up/downloads/Документи.zip
hxxps://bitbucket[.]org/court_gov_ua/files/downloads/Dokumenty.zip
hxxps://bitbucket[.]org/files_gov_ua/file/downloads/files.7z
hxxps://drive.google[.]com/file/d/1LesqoxORcvaUbLN2O3KRNEN0z1qRLmFE/vie
hxxps://drive.google[.]com/file/d/1EipxNQZfEMcr0D0v3bg9VHhhuBQfRKvK/view?usp=drive_link
hxxps://drive.google[.]com/file/d/1byrqOmYvSFPAlUvw_Uwh8S_ziMC3T7UU/view
hxxps://drive.google[.]com/file/d/1PD6UgmqTzAqOWjAkp2OBWUWBc5HWDIaS

Campioni di malware (SHA256):

de9f2262970884a7412c3b2fba2cb2fb9329ccf29a94b148ee47c255bff041a9
ce3445a8bd61a791913bc2cb02bcb3dea9fc340bf1c984c40cb33ab1a91a2953
97646017a7fd3778e619e55cc7afd594bdd88df5542f21fc2ec10c88fa23741d
20ab498b278b14f3786f634778a04d219c74e9fd8517b98f4aca313c9934b7f2

Esempi di AnonVNC Loader:

4c4872202abb5a60a8764bf44b370578a2b3d6f449b3881e96cc38f1b55f9cda
02ec55a5a2ad775adccd333edd94ac0bd82129a233736f7240044e085b73b0b3
a7297883de84d73fb4965c00228144a0e53c573ad3b7291be39bc6d9c284454c

Canali di comunicazione:

hxxps://t[.]me/UFSB95
hxxps://t[.]me/DVG8873

Infrastrutture:

Hosting fornito da AEZA International LTD (server con sede ad Amsterdam)

Raccomandazioni

Consapevolezza delle minacce:

Formare il personale affinché sia in grado di riconoscere tecniche sofisticate di ingegneria sociale che sfruttano le tensioni regionali e le preoccupazioni di natura umanitaria
Introdurre un controllo più rigoroso nei confronti delle testate giornalistiche e delle entità che gestiscono infrastrutture critiche che potrebbero essere prese di mira a fini di propaganda o disinformazione

Ricerca proattiva delle minacce:

Effettuare una ricerca nei registri delle ricevute e-mail e nei registri degli URL per individuare gli indicatori tecnici associati a tali campagne
Esaminare il traffico di rete alla ricerca di firme tipiche dei RAT di uso comune, in particolare le comunicazioni con infrastrutture di hosting AEZA note
Si prega di verificare l'eventuale presenza di casi di promozione di canali Telegram nelle comunicazioni relative al reclutamento, in particolare quelle che offrono