Il gruppo di cybercriminali noto come Bitter ha rafforzato la propria posizione nel panorama delle minacce informatiche, distinguendosi per attacchi mirati a enti governativi, diplomatici e militari, principalmente nell’area asiatica, ma con una progressiva espansione geografica. Secondo recenti analisi di Proofpoint e Threatray, Bitter opera con il sostegno di interessi statali indiani, focalizzandosi sulla raccolta di informazioni sensibili attraverso campagne di spionaggio sofisticate.

Le attività del gruppo si caratterizzano per l’uso sistematico di spear-phishing tramite email inviate da provider come 163.com, 126.com e ProtonMail, oltre che da account compromessi di governi di Pakistan, Bangladesh e Madagascar. In diverse campagne, Bitter si è anche finto rappresentante di enti governativi di Cina, Madagascar, Mauritius e Corea del Sud, aumentando così la credibilità delle proprie comunicazioni e inducendo le vittime ad aprire allegati infetti che attivano il rilascio di malware.

Nel corso del tempo, Bitter ha ampliato il proprio raggio d’azione, con prove recenti di attacchi mirati verso la Turchia, utilizzando malware come WmRAT e MiyaRAT. L’arsenale del gruppo include numerosi strumenti dannosi tra cui:

• ArtraDownloader: un downloader in C++ capace di raccogliere informazioni di sistema e scaricare file remoti
• Keylogger: per monitorare le digitazioni
• WSCSPL Backdoor: in grado di eseguire comandi remoti
• MuuyDownloader: per l’esecuzione di codici da server esterni
• Almond RAT e BDarkRAT: entrambi trojan in .NET con funzionalità di accesso remoto e gestione dei file

Un elemento distintivo delle campagne di Bitter è l’attività “hands-on-keyboard”: una volta ottenuto l’accesso, gli operatori effettuano ricognizioni approfondite e installano payload aggiuntivi come KugelBlitz e altri stealer come KiwiStealer, specializzato nell’esfiltrazione di documenti sensibili. Le analisi degli orari di attività indicano che il gruppo opera principalmente durante l’orario lavorativo indiano (IST), suggerendo un’organizzazione strutturata e collegata a servizi di intelligence nazionali.

L’evoluzione delle tattiche di Bitter, che include la continua diversificazione del malware e l’adattamento delle strategie di attacco, evidenzia la necessità per le organizzazioni di rafforzare le difese contro spear-phishing e minacce avanzate persistenti. La conoscenza approfondita delle tecniche e degli strumenti usati dal gruppo è fondamentale per migliorare le strategie di detection e prevenzione, soprattutto nei confronti di attori sponsorizzati da stati e dotati di risorse significative.