Da febbraio 2022 Sandworm è un nome che fa paura. Legato a doppio filo con la Russa e ritenuto chiaramente colluso con il Direttorato Principale dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU), questo nome richiama alla mente alcuni degli attacchi più devastanti sferrati contro l’Ucraina all’inizio del conflitto armato. Lo scorso anno le attività di Sandworm hanno riscosso meno clamore mediatico, ma questo non significa che siano terminate o rallentate. Il gruppo ha continuato a usare malware wiper distruttivi, ha messo in campo nuove tattiche e tecniche di attacco. E, si apprende adesso, è stato attivo anche nel campo dello spionaggio.

A rilevarlo è uno studio condotto dai ricercatori di WithSecure, che ha portato alla luce una nuova backdoor utilizzata nel corso di attacchi cyber in Europa orientale, a partire almeno dal 2022. Sappiamo che le operazioni di espionage per loro natura sono silenti e sovente vengono scoperte solo anni dopo il loro inizio. Questo caso non è differente: un malware, chiamato Kapeka e collegato al gruppo Sandworm, è stato probabilmente utilizzato in attacchi mirati contro aziende in tutta l'Europa centrale e orientale dall'invasione dell'Ucraina nel 2022.

I ricercatori spiegano che Kapeka è una backdoor flessibile con tutte le funzionalità necessarie per servire come toolkit iniziale per i suoi operatori, oltre a fornire accesso a lungo termine all'infrastruttura target. Che questo strumento malevolo sia stato usato da un attore APT è testimoniato da un uso sapiente, che ha portato ad avvistamenti sporadici e a un elevato livello di furtività e sofisticazione, che solo gli APT posseggono. Gli obiettivi occidentali che nel conflitto sostengono attivamente l’Ucraina chiudono il cerchio sull’identikit dell’operatore dietro a Kapeka, che si muove in conseguenza degli avvenimenti della guerra Russia-Ucraina.

Mohammad Kazem Hassan Nejad, Ricercatore di WithSecure Intelligence, spiega poi che l’analisi del malware ha inoltre permesso di appurare che Kapeka è un “tool su misura utilizzato in attacchi a raggio limitato, che presenta alcune sovrapposizioni con GreyEnergy, un altro toolkit collegato a Sandworm, rafforzando la sua associazione con il gruppo e evidenziando possibili implicazioni per le entità mirate nella regione”.