L’8 ottobre 2025, i ricercatori di sicurezza informatica hanno scoperto una sofisticata campagna di phishing rivolta a diverse organizzazioni legate agli sforzi di soccorso e ricostruzione dell’Ucraina. La campagna, identificata con il nome di PhantomCaptcha, si rivolge a organizzazioni umanitarie tra cui l’ufficio ucraino del Fondo delle Nazioni Unite per l’infanzia (UNICEF), il Consiglio norvegese per i rifugiati, il Registro dei danni per l’Ucraina del Consiglio d’Europa e le amministrazioni governative regionali di Donetsk, Dnipropetrovsk, Poltava e Mykolaiv.
I ricercatori hanno SentinelOne riferito che gli aggressori hanno sfruttato falsi messaggi di reclutamento e falsificato comunicazioni ufficiali, con file PDF con trappole esplosive e collegamenti fasulli che hanno portato le vittime a trojan di accesso remoto (RAT) dannosi. La campagna combina ingegneria sociale e malware avanzato in modo particolarmente mirato.
La campagna ha utilizzato per lo più e-mail ben congegnate che sembravano provenire dall’ufficio del presidente dell’Ucraina, tra le altre fonti autorevoli. Le e-mail allegavano documenti PDF con un link incorporato. Quando il link è stato cliccato, ha reindirizzato la vittima a una falsa pagina “captcha” (zoomconference.app) mascherata da piattaforma di videoconferenza legittima. Quella pagina ha quindi attivato una connessione WebSocket a un server remoto e ha installato un comando PowerShell che ha portato all’installazione di malware.
Una volta che la vittima ha eseguito il comando PowerShell, il downloader di prima fase ha recuperato un payload secondario da un server remoto. Quel payload si è rivelato essere un RAT specializzato basato su WebSocket, installato su un’infrastruttura controllata dagli aggressori. Questo malware ha dato all’autore della minaccia il pieno controllo remoto, consentendo il furto di file, il monitoraggio e l’ulteriore distribuzione del payload.
È interessante notare che il dominio falso dietro l’esca per videoconferenze è stato attivo solo per un solo giorno prima di scomparire, in contrasto con diversi mesi di lavoro di preparazione, comprese le registrazioni di domini nel marzo 2025. Ciò suggerisce un’elevata sicurezza operativa e una pianificazione a lungo termine da parte degli aggressori.
I gruppi di aiuto sono diventati bersagli
Queste non sono solo vittime casuali. Le parti interessate sono organizzazioni che operano o sostengono regioni dell’Ucraina colpite dalla guerra con una significativa esposizione internazionale, flussi finanziari e dati sui donatori. L’accesso alle loro reti potrebbe fornire agli aggressori preziose informazioni o sfruttare ulteriori intrusioni.
I ricercatori hanno sottolineato che violando un gruppo di aiuto, gli aggressori potrebbero raccogliere informazioni come elenchi di donatori, corrispondenza governativa, documenti finanziari e dati di progetto. Questi beni sono attraenti sia per lo spionaggio che per il crimine finanziario. E dato che alcuni degli obiettivi operano in regioni coinvolte nel conflitto con la Russia, l’intrusione può servire a obiettivi strategici più ampi oltre al semplice furto.
Cosa rende unica questa campagna
A differenza delle campagne di phishing di massa che distribuiscono migliaia di e-mail, l’attacco PhantomCaptcha sembra altamente mirato e personalizzato. La registrazione iniziale del dominio è avvenuta intorno al 27 marzo 2025, suggerendo mesi di ricognizione prima dell’attacco vero e proprio. L’infrastruttura dell’aggressore includeva anche “princess-mens.click”, un dominio utilizzato per fornire app di raccolta Android in grado di raccogliere geolocalizzazione, contatti, registri delle chiamate, contenuti multimediali e app installate dalle vittime.
L’uso delle principali tecnologie Web come WebSockets per il RAT, pagine di intercettazione dall’aspetto legittimo e catene PowerShell senza credenziali dimostra che gli aggressori erano a proprio agio nel mescolare ingegneria sociale, scripting leggero e furtività. La combinazione di falsi link Zoom e pagine CAPTCHA ha creato sia un senso di urgenza che di legittimità, due ingredienti chiave per il successo del phishing.
Cosa dovrebbero fare ora le organizzazioni
Per le organizzazioni umanitarie, le organizzazioni non profit e qualsiasi entità che opera in zone di conflitto o di soccorso, questo attacco offre diverse lezioni:
- Verifica attentamente le e-mail di reclutamento del lavoro, soprattutto quando provengono da domini sconosciuti o includono allegati.
- Non abilitare mai le macro, consentire l’esecuzione di script o fare clic su collegamenti da documenti ricevuti inaspettatamente, anche da contatti fidati.
- Monitora le registrazioni dei dispositivi, le configurazioni delle app di autenticazione e le connessioni WebSocket su larga scala per rilevare segnali in entrata insoliti.
- Tratta le piattaforme di videoconferenza e i sistemi di donazione come potenziali vettori di attacco, non solo come strumenti di comunicazione interna.
- Esegui controlli regolari dei dispositivi, dei registri proxy e dell’attività degli endpoint alla ricerca di segni di intrusione asimmetrica: ricorda che gli aggressori possono apparire come utenti legittimi.
Quando la posta in gioco è alta, la sicurezza informatica deve progredire di conseguenza. Gli aggressori non cercano più solo un guadagno finanziario. Si stanno infiltrando nelle organizzazioni combinando ingegneria sociale one-to-one e malware su misura. Ciò richiede ai difensori di passare da tattiche di “prevenzione di massa” a strategie di “risposta su misura”.
La campagna PhantomCaptcha dimostra che anche le istituzioni fidate che lavorano in ruoli umanitari rimangono a rischio di attacchi complessi. La dipendenza da piattaforme dall’aspetto legittimo come Zoom e falsi controlli CAPTCHA cloud mostra come l’infrastruttura che le persone ritengono sicura possa essere rivoltata contro di loro. La difesa in questo ambiente è una questione di verifica costante, non di supposizione.