A luglio 2020, Mandiant Threat Intelligence ha rilasciato un report che dettagliava un’attività, ancora in corso, condotta da cyber criminali, volta a influenzare l’opinione pubblica; FireEye l’ha denominata “Ghostwriter”. Questa campagna si rivolge principalmente alla popolazione di Lituania, Lettonia e Polonia promuovendo articoli molto scettici sulla presenza della NATO (North Atlantic Treaty Organization) in Europa orientale. A partire dal quel report, Mandiant Threat Intelligence ha identificato e segnalato oltre 20 ulteriori attività collegate a Ghostwriter.
FireEye presenta un nuovo report che delinea e illustra come le TTP (le tattiche, le tecniche e le procedure) del Gruppo si siano ampliate nel proseguimento della campagna per influenzare l’opinione pubblica:
- Cinque di queste “operazioni” hanno avuto luogo tra ottobre 2020 e gennaio 2021 e hanno portato alla compromissione di account social di funzionari polacchi che sono poi stati utilizzati per influenzare l’opinione pubblica e diffondere articoli apparentemente destinati a screditare il governo e ampliare le divisioni politiche interne;
- FireEye ritiene con elevata confidenza che UNC1151 sia un gruppo di spionaggio informatico state-sponsored e che esegua campagne furto di credenziali e di distribuzione di malware, e che sia coinvolto in diverse attività collegate a Ghostwriter. Dall’inizio del 2021, UNC1151 ha ampliato la sua attività di furto di credenziali per colpire anche i politici tedeschi.
FireEye, ad ora, non associa UNC1151 ad alcun gruppo precedentemente rilevato.
