Il gruppo di cybercriminali noto come APT29, sponsorizzato dallo stato russo, è stato recentemente collegato a una sofisticata campagna di phishing rivolta a entità diplomatiche in tutta Europa. Questa campagna utilizza una nuova variante del malware WINELOADER e un loader di malware inedito chiamato GRAPELOADER. Secondo un'analisi tecnica pubblicata da Check Point, mentre la nuova variante di WINELOADER continua a essere utilizzata come backdoor modulare nelle fasi successive, GRAPELOADER viene impiegato come strumento di primo stadio per il fingerprinting, la persistenza e la consegna del payload.

Entrambi i malware condividono somiglianze nella struttura del codice, nell'offuscamento e nella decrittazione delle stringhe. GRAPELOADER, tuttavia, migliora le tecniche anti-analisi di WINELOADER, introducendo metodi di occultamento più avanzati. L'uso di WINELOADER è stato documentato per la prima volta da Zscaler ThreatLabz nel febbraio 2024, con attacchi che sfruttavano esche di degustazione di vini per infettare i sistemi del personale diplomatico.

Dettagli della Campagna di Phishing

La campagna attuale prevede l'invio di inviti via email che impersonano un Ministero degli Esteri europeo non specificato, invitando i target a eventi di degustazione di vini. Le email contengono un link che, se cliccato, attiva il download di GRAPELOADER tramite un archivio ZIP infetto chiamato "wine.zip". Gli attacchi sembrano concentrarsi principalmente su vari paesi europei, con un'attenzione particolare ai Ministeri degli Esteri e alle ambasciate europee. Ci sono anche indicazioni che i diplomatici situati in Medio Oriente possano essere stati presi di mira.

Tecniche di Persistenza e Rilevamento

Il malware acquisisce persistenza modificando il Registro di Windows per garantire che l'eseguibile "wine.exe" venga lanciato ad ogni riavvio del sistema. GRAPELOADER è progettato per raccogliere informazioni di base sull'host infetto ed esfiltrarle a un server esterno per ottenere il codice shell della fase successiva. Nonostante la natura esatta del payload rimanga incerta, Check Point ha identificato artefatti aggiornati di WINELOADER caricati sulla piattaforma VirusTotal, con timestamp di compilazione che corrispondono a quelli di "AppvIsvSubsystems64.dll".

I risultati arrivano mentre HarfangLab ha fornito dettagli sul malware PteroLNK VBScript di Gamaredon, utilizzato dal gruppo russo per infettare tutte le unità USB collegate con versioni VBScript o PowerShell del programma dannoso. I campioni di PteroLNK sono stati caricati su VirusTotal tra dicembre 2024 e febbraio 2025 dall'Ucraina, un obiettivo primario del gruppo hacker.