Il gruppo svolge attività di cybercrime colpendo privati, PMI, clienti di banche e commercianti di criptovalute in varie regioni, tra cui l’Europa. Svolge anche attività di spionaggio di enti governativi in Europa e Asia centrale: nel 2022, ha attaccato funzionari governativi di Paesi confinanti con l’Ucraina
ESET, leader europeo globale nel mercato della cybersecurity, ha pubblicato la sua analisi su Asylum Ambuscade, un gruppo di cybercriminali che ha condotto operazioni di cyberspionaggio a latere almeno dal 2020. ESET ha rilevato precedenti casi di violazione che hanno interessato funzionari governativi e dipendenti di aziende statali nei Paesi dell’Asia centrale e in Armenia. Nel 2022 il gruppo avrebbe colpito funzionari governativi in diversi Paesi europei confinanti con l’Ucraina. ESET Research ritiene che l’obiettivo degli aggressori fosse quello di sottrarre informazioni riservate e credenziali webmail dai portali ufficiali del governo. Asylum Ambuscade si rivolge solitamente alle piccole e medie imprese (PMI) e ai privati in Nord America e in Europa.
“Sembra che Asylum Ambuscade si stia espandendo, conducendo di tanto in tanto alcune recenti campagne di cyberspionaggio contro governi dell’Asia centrale e dell’Europa. È piuttosto insolito trovare un gruppo di criminalità informatica che esegue operazioni di cyberspionaggio dedicate, e per questo crediamo che i ricercatori dovrebbero tenere sotto controllo le sue attività”, spiega Matthieu Faou, ricercatore ESET che ha indagato sulle attività del gruppo.
Nel 2022, quando il gruppo ha attaccato i funzionari governativi di diversi Paesi europei confinanti con l’Ucraina, l’iter di violazione si avviava con un’e-mail di spearphishing contenente un foglio di calcolo Excel o un documento Word malevoli inviati in allegato. Se la vittima era ritenuta d’interesse, gli aggressori distribuivano AHKBOT, un downloader che può essere ampliato con plugin per spiare le postazioni compromesse. Questi plugin forniscono varie funzionalità, tra cui la cattura di schermate, la registrazione di sequenze di tasti, il furto di password dai browser Web, il download di file e l’esecuzione di un infostealer.
Anche se il gruppo è salito alla ribalta per le sue operazioni di cyberspionaggio, dall’inizio del 2020 gestisce soprattutto campagne di criminalità informatica. Da gennaio 2022, ESET Research ha contato più di 4.500 vittime in tutto il mondo. Sebbene la maggior parte di queste si trovi in Nord America, va notato che sono state registrate vittime anche in Asia, Africa, Europa e Sud America. Il target è molto ampio e comprende principalmente individui, commercianti di criptovalute, clienti di banche e PMI in vari settori.
“L’iter di violazione del crimeware di Asylum Ambuscade è, nel complesso, molto simile a quello delle campagne di cyberspionaggio. La differenza principale è il vettore di compromissione, che potrebbe essere un annuncio malevolo di Google che reindirizza a un sito web che fornisce un file JavaScript dannoso o più reindirizzamenti HTTP”, aggiunge Faou.
Per ulteriori informazioni tecniche su Asylum Ambuscade, consultare l’articolo “Asylum Ambuscade – Un curioso caso di un attore di minacce al confine tra crimeware e cyberspionaggio” su WeLiveSecurity.
