Pubblicazione di notizie incentrate su argomenti socio-economici e geopolitici di attualità, usati per pretesto per criticare la coalizione di governo e influenzare l'opinione pubblica tedesca prima delle prossime elezioni in Germania. Sono queste le attività principali di Doppelgänger, una operazione di sospetta matrice russa scovata e monitorata dai SentinelLabs insieme a ClearSky Cyber Security.

Com’è facile intuire, l’obiettivo è la disinformazione mirata, operata mediante la diffusione di una propaganda contro il sostegno all’Ucraina da parte del Governo in carica. I threat actor si sono serviti di una rete di account X (ex Twitter) con l’obiettivo di partecipare attivamente ad attività coordinate, migliorarne la visibilità e coinvolgere il pubblico.

Il monitoraggio ha avuto inizio alla fine di novembre 2023 e Doppelgänger non è una scoperta recente: si tratta di una rete nota per l’impiego di tattiche persistenti e aggressive, ritenuta collisa con il Cremlino. All’inizio della guerra in Ucraina diffondeva contenuti anti-ucraini rivolgendosi principalmente a un pubblico negli Stati Uniti, in Israele, in Germania e in Francia.

A questo giro l’attività sembra focalizzata unicamente sul pubblico tedesco, probabilmente per cercare di abbassare i voti favorevoli al Governo in carica in vista delle elezioni del Parlamento europeo, municipali e federali previste per il 2025. Nel report gli esperti di cybersecurity evidenziano le affinità fra le attività citate rivolte al pubblico tedesco, a Israele, Stati Uniti e Ucraina e quelle precedentemente riportate da Recorded Future e Meta.

Sovrapposizioni parziali, come l’impiego altamente coordinato di account X per rimbalzare le notizie e ampliarne la portata, mettono in evidenza l’operato di Doppelgänger. Account che nel frattempo sono stati disattivati, ma che quando erano in attività pubblicavano e ripubblicavano a cadenza regolare contenuti mirati.

Un’azione coordinata complessa

A parte la disinformazione degli articoli in questione, erano implementati link a siti web costruiti ad hoc usando WordPress, che impersonavano testate giornalistiche realmente esistenti, replicandone la struttura, il design e gli url. Tali siti pubblicavano regolarmente contenuti costituiti da un mix di notizie provenienti da altri siti web e tradotte nelle lingue del pubblico target. A rivelare che si trattava di siti canaglia erano piccoli dettagli, come per esempio errori nella funzionalità di ricerca o la mancata presenza sui social media. I contenuti di questi siti erano poi accomunati da una narrazione fortemente critica verso il governo, specialmente in relazione al suo supporto al conflitto ucraino.

I ricercatori hanno inoltre evidenziato diverse tecniche di offuscamento e tracciamento che facevano capo a una struttura notoriamente legata a Doppelgänger e strutturata in quattro parti, ciascuna destinata ad altrettante entità coinvolte nella diffusione di contenuti: i siti web di reindirizzamento di prima e seconda fase, hostati da una varietà di provider fra cui Hostinger, Global Internet Solutions e Digital Ocean, i server probabilmente utilizzati per monitorare le prestazioni delle campagne di disinformazione e i siti web di destinazione.

Da notare che i domini dei siti web hanno una natura ciclica: restano accesi per brevi periodi e vengono periodicamente spenti per poi essere riattivati all’occorrenza. È una strategia che, combinata con la frequente rotazione tra i provider di hosting, permette di eludere la detection e il tracciamento della infrastruttura di prima fase, che è esposta sulle piattaforme di social media e quindi ha maggiori probabilità di essere sottoposta a controlli.

I server di monitoraggio, che svolgono un ruolo centrale nelle campagne di Doppelgänger e sono responsabili anche del reindirizzamento, sono ospitati dietro un'infrastruttura proxy inversa basata su cloud: è un altro trucco per offuscare le loro vere posizioni di hosting. A differenza dei domini di prima e seconda fase, i periodi di attività di questi domini in genere si estendono per diversi mesi durante le campagne.

Quanto ai siti web di destinazione, nella maggior parte dei casi i domini sono stati registrati per la prima volta nel primo trimestre del 2023; alcuni erano già registrati a metà del 2022, e sono tuttora attivi. C’è poi un sottoinsieme più piccolo di domini che secondo i ricercatori sono gestiti da Doppelgänger e sono attivi da quasi 10 anni, con periodi intermittenti di inattività della durata massima di alcuni anni.

Alla luce di quanto scoperto, i ricercatori dei SentinelLabs concludono che Doppelgänger rappresenta uno strumento attivo di guerra dell'informazione, caratterizzato dall'uso strategico della propaganda e della disinformazione per influenzare l'opinione pubblica. La campagna che ha preso di mira la Germania è un esempio lampante della natura persistente e in continua evoluzione delle operazioni di disinformazione legate alla Russia, che sfruttano i social media e le notizie di attualità per plasmare l’opinione pubblica.

Non è da escludere che le attività di Doppelgänger siano rivolte o lo saranno presto anche ad altri paesi occidentali, e che nel tempo si evolveranno, soprattutto in concomitanza con le tornate elettorali previste sia in Europa sia negli Stati Uniti. Non solo, gli esperti prevedono future innovazioni nella infrastruttura e nelle tattiche di offuscamento.

Come combattere una minaccia simile? Con un approccio globale e collaborativo, con il rafforzamento della consapevolezza pubblica e con la formazione ai cittadini, che permetta loro di riuscire a identificare e vanificare i tentativi di manipolazione. Ovviamente in affiancamento a questo occorrono azioni tempestive ed efficaci da parte delle piattaforme di social media e degli operatori delle infrastrutture per limitare la diffusione della disinformazione online. I SentinelLabs hanno pubblicato anche una serie di IoC che si trovano nel blog ufficiale.