Sea Turtle, un gruppo sostenuto dallo stato turco noto anche come Teal Kurma e Cosmic Wolf, in precedenza specializzato in attacchi cyber nella regione mediorientale, in Svezia e USA ha ampliato il proprio raggio d’azione attuando diverse campagne di spionaggio nei Paesi Bassi, per lo più contro Telco, Media, ISP. A rilevare tali attività tra il 2021 e il 2023 sono stati i ricercatori di Hunt & Hackett.

Stando a quanto evidenziato nel report ufficiale, l’attività di Sea Turtle è caratterizzata dall’uso di tecniche come il dirottamento DNS, il reindirizzamento del traffico, l'ottenimento di certificati di crittografia validi e attacchi man-in-the-middle per raccogliere le credenziali e ottenere l'accesso iniziale alla rete dell'organizzazione presa di mira. Queste ultime includono organizzazioni governative e non governative, media, ISP e fornitori di servizi IT. Gli analisti sottolineano che gli attacchi di questo threat actor sono da ritenersi di moderata sofisticazione, dato che sfruttano principalmente vulnerabilità note diffuse pubblicamente e account compromessi per l'accesso iniziale, senza riuscire a coprire efficacemente le tracce della propria attività.

Gli attacchi sono mirati e finalizzati ad acquisire informazioni economiche e politiche in linea con gli interessi dello Stato turco. Fra gli obiettivi storici figurano, oltre a quelli sopra indicati, gruppi (politici) curdi come il PKK, ONG e il settore dell'intrattenimento.

Hunt & Hackett riporta alcune considerazioni sulle campagne monitorate tra il 2021 e il 2023. La prima è che di recente è stata utilizzata una shell TCP inversa denominata SnappyTCP per Linux/Unix con funzionalità basilari di comando e controllo per stabilire la persistenza sui sistemi. I threat actor hanno usato codice di un account GitHub accessibile pubblicamente, probabilmente controllato dal gruppo stesso.

Interessanti sono le attività condotte all’interno delle reti target: gli analisti hanno osservato gli attaccanti eseguire tecniche di evasione della difesa per evitare di essere scoperti, hanno esfiltrato informazioni almeno da un archivio di posta elettronica di una delle organizzazioni vittime, creando copie di archivi email nella directory pubblica di un sito Web.

Non sono stati riscontrati casi di furto di credenziali post-compromissione, tentativi di movimenti laterali o manipolazione/cancellazione dei dati nel corso degli attacchi monitorati.