Una campagna di phishing mirata alle credenziali ha preso di mira gli utenti di UKR net, servizio di webmail e notizie molto diffuso in Ucraina, con un approccio persistente e ben organizzato. L’attività è stata osservata in un arco di tempo prolungato, da giugno 2024 ad aprile 2025, e mostra una continuità con operazioni precedenti orientate al furto di accessi e alla raccolta di informazioni sensibili. Il gruppo responsabile è associato a un attore di minaccia sponsorizzato da uno Stato, noto nel panorama della threat intelligence per campagne di spionaggio informatico e per tecniche di credential harvesting.

Il cuore della strategia è l’uso di pagine di login false a tema UKR net, progettate per sembrare credibili e indurre la vittima a inserire username e password. Un elemento particolarmente critico è la richiesta anche dei codici di autenticazione a due fattori (2FA), che consente agli attaccanti di superare in tempo reale le protezioni aggiuntive e ottenere accesso completo alla casella di posta. I link verso le pagine fraudolente vengono spesso inseriti all’interno di documenti PDF allegati a email di phishing, tecnica che aumenta la probabilità di apertura e riduce i sospetti, soprattutto in contesti lavorativi dove i PDF sono comuni.

Per rendere più difficile il blocco e la rimozione, la campagna sfrutta infrastrutture legittime e servizi gratuiti. Sono stati osservati siti di hosting temporaneo e strumenti di reindirizzamento, insieme a link accorciati tramite servizi di URL shortening come tinycc e tinyurl. In alcuni casi vengono usati anche sottodomini su piattaforme di blogging per creare catene di reindirizzamento a due livelli, utili a nascondere la destinazione finale e a eludere i controlli automatici di sicurezza email.

Un cambiamento rilevante riguarda la gestione della raccolta delle credenziali: invece di appoggiarsi a router compromessi, gli attaccanti hanno adottato servizi di proxy tunneling come ngrok e Serveo per intercettare e inoltrare dati rubati e codici 2FA. Questa evoluzione suggerisce un adattamento alle operazioni di takedown infrastrutturale e ai controlli più aggressivi messi in campo negli ultimi anni. Per gli utenti e le organizzazioni ucraine, la lezione chiave è rafforzare la sicurezza email con filtri anti phishing, verifiche dei link, formazione continua e preferenza per metodi MFA resistenti al phishing, come chiavi hardware o passkey.