Migliaia di account compromessi da una campagna, già nota dal 2025 nel teatro ucraino, che ha raggiunto l'Europa: Paesi Bassi, Germania e Francia hanno confermato obiettivi colpiti.
Autore: Redazione SecurityOpenLab
FBI e CISA hanno emesso un avviso congiunto per allertare circa una serie di attacchi riconducibili ai servizi di intelligenze russi, che hanno compromesso migliaia di account su applicazioni di messaggistica commerciale, con un'attenzione particolare a Signal e WhatsApp. Gli obiettivi sono funzionari governativi statunitensi, personale militare, figure politiche e giornalisti. La crittografia end-to-end di Signal e WhatsApp non è stata violata; gli attaccanti non ne avevano bisogno perché hanno semplicemente aggirato la tecnologia prendendo di mira le persone.
La notizia non sorprende chi segue il settore. A febbraio 2025 il Google Threat Intelligence Group aveva già documentato le tecniche, i cluster coinvolti e le implicazioni della prima ondata di campagne, avvertendo esplicitamente che le tattiche osservate nel teatro ucraino si sarebbero diffuse ad altre regioni. La previsione si è avverata: nel corso delle ultime settimane le agenzie di intelligence di Paesi Bassi, Germania e Francia hanno confermato che la campagna ha raggiunto l'Europa occidentale, con obiettivi tra i propri funzionari governativi, diplomatici e giornalisti. Quello che sembrava un problema circoscritto al conflitto russo-ucraino è diventato una questione che riguarda anche noi.
La tecnica più diffusa e insidiosa documentata da Google Threat Intelligence Group sfrutta la funzionalità legittima di Signal che consente di collegare più dispositivi allo stesso account tramite la scansione di un QR code. Gli attaccanti costruiscono QR code malevoli che, una volta scansionati dalla vittima, collegano un nuovo dispositivo controllato dall'attaccante anziché all’utente. In questo schema di attacco, tutti i messaggi futuri verranno recapitati in modo sincrono sia alla vittima sia all'attaccante, in tempo reale, senza che il dispositivo della vittima risulti compromesso e senza che l'app mostri alcuna anomalia. La compromissione può passare inosservata per settimane o mesi.
I QR code in questione vengono veicolati attraverso campagne di phishing che li presentano come inviti a gruppi Signal, avvisi di sicurezza dell'app o istruzioni ufficiali per il collegamento di un nuovo dispositivo. L'utente crede di eseguire un'operazione ordinaria, invece consegna agli attaccanti l’accesso persistente alle proprie comunicazioni.
Google Threat Intelligence Group ha identificato diversi cluster correlati alla Russia, ciascuno con un approccio distinto. UNC5792 (UNC sta per Uncategorized, che è la nomenclatura ufficiale per i cluster non ancora attribuiti con certezza tale da ricevere un numero APT) manipola le pagine di invito ai gruppi Signal: allestisce pagine di phishing su infrastruttura propria, visivamente identiche agli originali, in cui il codice che normalmente reindirizza l'utente verso il gruppo viene sostituito con un blocco malevolo che attiva il collegamento del dispositivo dell'attaccante all'account della vittima.
UNC4221 ha sviluppato un kit di phishing dedicato che imita l'applicazione usata dalle Forze Armate ucraine per la guida dell'artiglieria. Nel momento in cui il soldato effettua quello che ritiene un login legittimo, il suo account Signal viene collegato a un dispositivo controllato dal gruppo. UNC4221 utilizza anche un payload JavaScript che colleziona informazioni sulla vittima e dati di geolocalizzazione tramite le API del browser, combinando sorveglianza delle comunicazioni e tracciamento fisico in un'unica operazione.
APT44, noto anche come Sandworm o Seashell Blizzard e attribuito da più governi al GRU, la Direzione principale dell'intelligence militare russa, ha portato la logica di attacco oltre il phishing remoto e ha portato allo svolgimento di operazioni di accesso fisico su dispositivi catturati sul campo di battaglia in Ucraina. Grazie all’accesso al dispositivo sbloccato di un militare ucraino, le forze russe hanno collegato l'account Signal alla propria infrastruttura, ottenendo un canale di sorveglianza persistente. APT44 ha inoltre ideato uno script batch per Windows progettato per estrarre periodicamente i messaggi recenti dal database locale di Signal ed esfiltrarli tramite Rclone verso infrastruttura controllata dal gruppo.
Turla, attribuito all'FSB russo, ha operato in contesti di post-compromise con uno script PowerShell per estrarre il database di Signal Desktop dai sistemi Windows già compromessi. Infine, il cluster bielorusso UNC1151 ha usato l'utility Robocopy per copiare le directory di Signal Desktop e prepararne l'esfiltrazione.
La stessa logica del linked device è stata estesa a WhatsApp da Star Blizzard, il cluster tracciato da Microsoft Threat Intelligence come COLDRIVER e anch’esso attribuito all'FSB russo. La campagna, documentata da Microsoft nel gennaio 2025, prende di mira funzionari governativi, diplomatici, ricercatori di politica estera e organizzazioni di supporto all'Ucraina. La catena di attacco si apre con una email che impersona un funzionario governativo statunitense e invita il destinatario a unirsi a un gruppo WhatsApp su iniziative di supporto alle ONG ucraine.
Il QR code allegato è deliberatamente non funzionante, di modo da spingere la vittima a rispondere chiedendo un link alternativo. In risposta arriva una seconda email con un link che reindirizza a una pagina contenente un QR code apparentemente legittimo per accedere al gruppo; in realtà è il codice che WhatsApp usa per collegare l'account a un dispositivo secondario o a WhatsApp Web. Se scansionato, consegna all'attaccante accesso completo ai messaggi, con la possibilità di esfiltrarli tramite plugin browser esistenti.
Quando Google e Microsoft pubblicarono i primi report, la campagna era documentata nel contesto del conflitto russo-ucraino e c’era solo un avvertimento esplicito circa il rischio che le tattiche si sarebbero diffuse ad altri attori e ad altre regioni. A marzo 2026 il quadro è cambiato perché le agenzie di intelligence olandesi AIVD e MIVD hanno confermato che dipendenti governativi dei Paesi Bassi sono già stati colpiti e che tra i probabili obiettivi figurano giornalisti e altre persone di interesse per il governo russo. La BfV tedesca aveva già lanciato un allarme analogo a febbraio, segnalando campagne di phishing via messaggistica contro politici, diplomatici e militari. Il Centro di coordinamento per le crisi cyber della Francia, parte dell'ANSSI, ha pubblicato il proprio avviso lo stesso giorno del PSA FBI/CISA, documentando un'ondata di attacchi contro account di instant messaging di funzionari, giornalisti e imprenditori. Il comune denominatore di tutti e tre gli avvisi europei è identico a quello documentato da Google un anno prima: nessuna vulnerabilità tecnica sfruttata, nessuna crittografia violata, solo social engineering mirato per sottrarre all'utente il controllo del proprio account.
Gli esperti convergono sulle stesse indicazioni per la difesa. La prima è verificare regolarmente la lista dei dispositivi collegati al proprio account Signal o WhatsApp, nella sezione Linked devices delle impostazioni, e rimuovere qualsiasi voce non riconosciuta. Qualsiasi QR code ricevuto via messaggio che richieda di essere scansionato per accedere a un gruppo, verificare un account o collegare un dispositivo va trattato con sospetto e non scansionato senza una verifica fuori banda con il mittente.
Abilitare il registration lock su Signal aggiunge un livello di protezione significativo contro il takeover completo dell'account. Non va mai condiviso con nessuno il codice di verifica o il PIN: Signal non contatta mai gli utenti tramite messaggi in-app, SMS o social media per richiedere queste informazioni. Mantenere l'app aggiornata è essenziale perché le versioni recenti di Signal per Android e iOS includono funzionalità di protezione rafforzata sviluppate in risposta a queste campagne, in collaborazione con il team di Google Threat Intelligence Group. Per i soggetti esposti a rischio elevato di sorveglianza, Apple ha reso disponibile la modalità Lockdown su iPhone, che riduce la superficie di attacco del dispositivo a fronte di alcune limitazioni funzionali.