APT28 e la minaccia NotDoor: come il malware prende di mira gli utenti Outlook

Negli ultimi mesi, il panorama della sicurezza informatica internazionale è stato scosso da una campagna malevola condotta dal noto gruppo russo APT28, meglio conosciuto come Fancy Bear, che ha sviluppato un malware avanzato in grado di infiltrarsi silenziosamente nei sistemi aziendali tramite Microsoft Outlook. Questa nuova minaccia, denominata NotDoor, è progettata per agire senza lasciare tracce evidenti, garantendo ai cybercriminali un controllo remoto completo sui dispositivi compromessi e facilitando attività di cyberespionaggio su vasta scala.

NotDoor ssfrutta meccanismi di attivazione innovativi. Il malware rimane in stato dormiente fino a quando non rileva, tra le email in arrivo, parole chiave specifiche come “report giornaliero”. Al manifestarsi di questi trigger, la backdoor si attiva autonomamente, aprendo le porte agli attaccanti che possono così sottrarre dati sensibili e manipolare il sistema infetto. Il nome NotDoor è stato scelto dagli analisti in riferimento all’uso ricorrente del termine “Nothing” all’interno del codice sorgente, un dettaglio che testimonia la complessità e la cura con cui è stato sviluppato.

Un elemento chiave che rende NotDoor particolarmente insidioso è il suo avanzato sistema di offuscamento del codice. Gli sviluppatori hanno impiegato tecniche di randomizzazione dei nomi delle variabili e adottato schemi di codifica proprietari, ostacolando in modo significativo le attività di analisi forense e reverse engineering. Questa scelta strategica permette al malware di eludere la maggior parte delle soluzioni di sicurezza tradizionali, ritardando la sua individuazione e rendendo più complessa la risposta agli incidenti.

Dal punto di vista tecnico, la minaccia si avvale inoltre del DLL sideloading, una tecnica che consiste nel caricare componenti malevoli mascherandoli come file legittimi. In particolare, NotDoor sfrutta processi come OneDrive.exe per introdurre i propri moduli infetti, rendendo estremamente difficile distinguere le attività malevole da quelle ordinarie agli occhi dei sistemi di difesa automatizzati.

La persistenza del malware è assicurata attraverso modifiche sofisticate al registro di Outlook. NotDoor interviene direttamente sulle impostazioni del client di posta, disabilitando avvisi di sicurezza e notifiche relative alle macro, elementi che potrebbero altrimenti allertare l’utente o i responsabili IT della presenza di attività sospette. Inoltre, il malware sfrutta trigger VBA che si attivano in concomitanza con eventi come l’avvio di Outlook o la ricezione di nuovi messaggi, garantendo così un controllo costante e silenzioso sui sistemi compromessi.

L’attribuzione di questa campagna ad APT28 è stata confermata da numerosi esperti di sicurezza, che hanno riscontrato forti analogie con precedenti operazioni riconducibili al gruppo. Fancy Bear è da anni al centro di indagini internazionali per attività di cyberespionaggio ad alto impatto, tra cui si ricordano gli attacchi al Comitato Nazionale Democratico degli Stati Uniti nel 2016 e le incursioni nei sistemi della World Anti-Doping Agency. La loro firma è riconoscibile sia nelle tecniche di attacco sia nella sofisticazione degli strumenti impiegati.

Alla luce di queste minacce, gli specialisti raccomandano una serie di misure preventive. Prima di tutto, è fondamentale mantenere le macro disabilitate come impostazione predefinita in tutti gli ambienti aziendali, riducendo così le superfici di attacco sfruttabili dai malware. È altrettanto importante monitorare costantemente qualsiasi comportamento anomalo all’interno di Microsoft Outlook e analizzare con regolarità i trigger basati sulle email, poiché questi possono essere sfruttati come vettori di infezione. L’adozione di strategie di difesa proattive e l’aggiornamento continuo delle policy di sicurezza rappresentano oggi una necessità imprescindibile per proteggere dati e infrastrutture da attacchi sempre più mirati e sofisticati.