Amazon ferma l’APT29: sventata una sofisticata campagna di watering hole russa

Una campagna di watering hole complessa, orchestrata dal noto gruppo di hacker APT29, legato agli servizi segreti esteri russi, è stata neutralizzata dal team per la sicurezza informatica di Amazon. Questa ultima campagna segna un significativo cambiamento tattico rispetto alle operazioni precedenti, dimostrando la capacità del gruppo di evolversi sotto la pressione dei difensori della sicurezza informatica.

A differenza della campagna dell’ottobre 2024, che si basava sulla rappresentazione del dominio AWS per distribuire file dannosi del protocollo Remote Desktop, il nuovo approccio di APT29 prevedeva la compromissione di siti Web legittimi e l’iniezione di codice JavaScript offuscato. APT29 ha creato pagine di verifica Cloudflare false e convincenti su domini come findcloudflare[.]com, progettate per indurre gli utenti ad autorizzare i dispositivi controllati dagli aggressori tramite il flusso di lavoro di autenticazione di Microsoft.

L’operazione dell’agosto 2025 rappresenta l’ultimo capitolo di una battaglia di guerra informatica in corso tra giganti della tecnologia e attori della minaccia sponsorizzati dagli stati che cercano di infiltrarsi nelle reti globali e raccogliere credenziali sensibili. L’unità informatica russa, nota anche come Midnight Blizzard, ha dimostrato una notevole adattabilità nelle sue metodologie di attacco nel corso del 2024 e del 2025.

Fondamentale è che Amazon abbia confermato che nessun sistema AWS è stato compromesso durante l’operazione e che non vi è stato alcun impatto diretto sui servizi o sull’infrastruttura AWS. Gli aggressori hanno reindirizzato strategicamente solo il 10% dei visitatori del sito web per evitare di essere scoperti, dimostrando un approccio calcolato per massimizzare l’impatto riducendo al minimo l’esposizione.

Un gruppo di esperti di Amazon sul fronte delle minacce è venuto a conoscenza dell’operazione grazie ad un’analisi avanzata creata per individuare i pattern infrastrutturali propri di APT29. La ricerca ha scoperto che gli operatori russi erano stati in grado di minare l’integrità di numerosi siti web autentici, sfruttandoli come strumenti ignari per la loro attività di spionaggio.

La continua sfida tra i due contendenti ha messo in luce la tenacia delle attività digitali supportate dai governi e l’importanza di un monitoraggio costante da parte degli specialisti della cybersecurity.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.