Account Gmail compromessi mentre gli hacker russi eludono la MFA

In una preoccupante nuova ondata di attacchi informatici, un attore della minaccia informatica sponsorizzato dallo stato russo è stato sorpreso a impersonare il Dipartimento di Stato degli Stati Uniti per ottenere accesso non autorizzato agli account Gmail, in particolare quelli appartenenti a accademici di spicco e critici della Russia.

Secondo i ricercatori di sicurezza del Google Threat Intelligence Group (GTIG), gli attacchi sono iniziati almeno ad aprile e sono continuati fino all’inizio di giugno 2025. Gli hacker, tracciati con il nome UNC6293 e sospettati di essere collegati al noto gruppo APT29/ICECAP, si sono affidati a tattiche di ingegneria sociale accuratamente elaborate per estrarre le credenziali di accesso dalle loro vittime.

Gli hacker hanno usato inganno, non malware

Invece di utilizzare malware tipico o link di phishing evidenti, gli attaccanti hanno optato per un approccio più sottile. Hanno costruito fiducia con i loro obiettivi nel tempo inviando email personalizzate e inviti a riunioni falsi. Per aumentare la loro credibilità, gli attaccanti hanno falsificato indirizzi email del Dipartimento di Stato degli Stati Uniti dall’aspetto ufficiale, includendoli anche nella linea CC dei loro messaggi.

Un esempio, condiviso da Keir Giles, un noto ricercatore britannico sulla Russia, mostra un messaggio inoltrato (vedi sotto) con un indirizzo del Dipartimento di Stato apparentemente credibile incluso tra i destinatari—una tattica chiave utilizzata per guadagnare fiducia.

Una volta che l’obiettivo ha risposto, gli attaccanti hanno inviato un file PDF dall’aspetto apparentemente innocuo — personalizzato per ciascun destinatario e a tema simile alla comunicazione ufficiale del Dipartimento di Stato — con istruzioni false che affermavano di aiutarli ad accedere a un sistema governativo statunitense sicuro.

In realtà, il documento guidava la vittima a creare quello che è noto come una Password Specifica per l’Applicazione (ASP)—un codice unico di 16 caratteri utilizzato per consentire alle app di accedere agli account Gmail, eludendo la verifica in due passaggi.

Fondamentale, la vittima è stata istruita a inviare questo codice all’attaccante. Armati dell’ASP, gli hacker potevano accedere all’email dell’utente senza essere rilevati, guadagnando accesso a lungo termine senza bisogno di password regolari o di attivare avvisi MFA (autenticazione a più fattori).

“Gli attaccanti hanno quindi configurato un client di posta per utilizzare l’ASP, probabilmente con l’obiettivo finale di accedere e leggere la corrispondenza email della vittima. Questo metodo consente anche agli attaccanti di avere accesso persistente agli account,” ha scritto GTIG in un post sul blog giovedì.

Due campagne, una strategia

** GTIG ha identificato due campagne separate ma correlate:

Campagna 1 utilizzava un tema del Dipartimento di Stato degli Stati Uniti, suggerendo il nome ASP “ms.state.gov.”

Campagna 2 presentava un mix di branding ucraino e Microsoft.

Entrambe le campagne utilizzavano gli stessi proxy residenziali (91.190.191.117) e server privati virtuali (VPS) nell’infrastruttura, rendendo più facile per gli investigatori collegarle insieme.

Misure adottate

Google afferma di aver già ripristinato la sicurezza degli account Gmail compromessi da queste campagne e sta lavorando attivamente per prevenire futuri attacchi di questo tipo. L’azienda ricorda agli utenti che le ASP possono essere create e revocate in qualsiasi momento. Quando viene creata un’ASP, Google invia automaticamente una notifica all’account Gmail corrispondente dell’utente, all’indirizzo email di recupero e a qualsiasi dispositivo connesso con quell’account Google per confermare che l’azione fosse intenzionale.

Per gli utenti ad alto rischio, come giornalisti, attivisti e analisti politici, Google fornisce risorse di sicurezza avanzate come il Programma di Protezione Avanzata (APP), che offre una sicurezza più forte e disabilita completamente la possibilità di creare ASP.

“Speriamo che una migliore comprensione delle tattiche e delle tecniche migliori le capacità di ricerca delle minacce e porti a una protezione degli utenti più forte in tutto il settore,” ha concluso il post del blog.