Nella rete incombono minacce pericolose che spesso prendono di mira informazioni e dati riservati anche di importanti realtà, come enti governativi. Queste minacce sono perpetuate da gruppi di cybercriminali esperti; gruppi come Asylum Ambuscade, che ha condotto operazioni di cyberspionaggio almeno dal 2020.
È ESET, player europeo globale nel mercato della cybersecurity, a pubblicare un’analisi su questo pericolo gruppo. ESET ha rilevato precedenti casi di violazione da parte di Asylum Ambuscade che hanno interessato funzionari governativi e dipendenti di aziende statali nei Paesi dell’Asia centrale e in Armenia. Nel 2022 il gruppo avrebbe colpito funzionari governativi in diversi Paesi europei confinanti con l’Ucraina. ESET Research ritiene che l’obiettivo degli aggressori fosse quello di sottrarre informazioni riservate e credenziali webmail dai portali ufficiali del governo.
Gli obiettivi di Asylum Ambuscade
Asylum Ambuscade si rivolge solitamente alle piccole e medie imprese (PMI) e ai privati in Nord America e in Europa.
“Sembra che Asylum Ambuscade si stia espandendo, conducendo di tanto in tanto alcune recenti campagne di cyberspionaggio contro governi dell’Asia centrale e dell’Europa. È piuttosto insolito trovare un gruppo di criminalità informatica che esegue operazioni di cyberspionaggio dedicate, e per questo crediamo che i ricercatori dovrebbero tenere sotto controllo le sue attività“, spiega Matthieu Faou, ricercatore ESET che ha indagato sulle attività del gruppo.
Nel 2022, quando Asylum Ambuscade ha attaccato i funzionari governativi di diversi Paesi europei confinanti con l’Ucraina, l’iter di violazione si avviava con un’e-mail di spearphishing contenente un foglio di calcolo Excel o un documento Word malevoli inviati in allegato. Se la vittima era ritenuta d’interesse, gli aggressori distribuivano AHKBOT, un downloader che può essere ampliato con plugin per spiare le postazioni compromesse. Questi plugin forniscono varie funzionalità, tra cui la cattura di schermate, la registrazione di sequenze di tasti, il furto di password dai browser Web, il download di file e l’esecuzione di un infostealer.
Un target ampio che non si ferma agli enti governativi
Anche se Asylum Ambuscade è salito alla ribalta per le sue operazioni di cyberspionaggio, dall’inizio del 2020 gestisce soprattutto campagne di criminalità informatica. Da gennaio 2022, ESET Research ha contato più di 4.500 vittime in tutto il mondo. Sebbene la maggior parte di queste si trovi in Nord America, va notato che sono state registrate vittime anche in Asia, Africa, Europa e Sud America. Il target è molto ampio e comprende principalmente individui, commercianti di criptovalute, clienti di banche e PMI in vari settori.
“L’iter di violazione del crimeware di Asylum Ambuscade è, nel complesso, molto simile a quello delle campagne di cyberspionaggio. La differenza principale è il vettore di compromissione, che potrebbe essere un annuncio malevolo di Google che reindirizza a un sito web che fornisce un file JavaScript dannoso o più reindirizzamenti HTTP“, aggiunge Matthieu Faou.
