Il gruppo di minaccia russo noto come Star Blizzard è stato associato a una nuova campagna di spear-phishing che prende di mira gli account WhatsApp delle vittime, segnando un allontanamento dalle sue tecniche tradizionali. Questo cambiamento potrebbe rappresentare un tentativo di eludere le difese attuali.

Star Blizzard, precedentemente conosciuto come SEABORGIUM, è un gruppo di attività di minaccia legato alla Russia noto per le sue campagne di raccolta credenziali. Attivo almeno dal 2012, viene tracciato anche sotto i nomi di Blue Callisto, BlueCharlie, Calisto, COLDRIVER, e altri. I suoi obiettivi principali sono individui legati a governi, diplomazia, politica di difesa e relazioni internazionali, specialmente quelli che lavorano su questioni relative alla Russia e all'assistenza all'Ucraina.

Le catene di attacco precedentemente osservate coinvolgevano l'invio di email di spear-phishing a bersagli di interesse, di solito usando un account Proton per inviare documenti con link malevoli. Questi ultimi reindirizzano a una pagina gestita da Evilginx, in grado di raccogliere credenziali e codici di autenticazione a due fattori tramite attacchi man-in-the-middle.

Star Blizzard ha anche utilizzato piattaforme di marketing come HubSpot e MailerLite per nascondere i veri indirizzi email del mittente, evitando così la necessità di includere infrastrutture di dominio controllate dagli attori nelle email. Alla fine dello scorso anno, Microsoft e il Dipartimento di Giustizia degli Stati Uniti hanno annunciato il sequestro di oltre 180 domini utilizzati dal gruppo per colpire giornalisti, think tank e organizzazioni non governative tra gennaio 2023 e agosto 2024.

La nuova campagna di spear-phishing

La divulgazione pubblica delle sue attività potrebbe aver spinto il gruppo a modificare le sue tattiche, prendendo di mira gli account WhatsApp. La campagna sembra essere stata limitata e conclusa a novembre 2024. Gli obiettivi principali appartengono ai settori governativo e diplomatico, includendo funzionari attuali ed ex, oltre a individui coinvolti in politiche di difesa e relazioni internazionali.

La campagna inizia con un'email di spear-phishing che si presenta come inviata da un funzionario del governo statunitense per aumentare la fiducia della vittima. Il messaggio include un codice QR che invita il destinatario a unirsi a un presunto gruppo WhatsApp dedicato a iniziative non governative a sostegno dell'Ucraina. Tuttavia, il codice è deliberatamente rotto per indurre una risposta dalla vittima.

Se il destinatario risponde, Star Blizzard invia un secondo messaggio, chiedendo di cliccare su un link accorciato per unirsi al gruppo WhatsApp, scusandosi per il disguido. Seguire questo link porta a una pagina che richiede di scansionare un codice QR per unirsi al gruppo; questo codice è in realtà utilizzato da WhatsApp per collegare un account a un dispositivo.

Le persone appartenenti ai settori presi di mira da Star Blizzard sono invitate a essere caute quando gestiscono email contenenti link a fonti esterne.