Sommario
Il rapporto di Kaspersky intitolato “Head Mare e Twelve: Joint attacks on Russian entities” esplora un’inedita collaborazione tra due gruppi hacktivisti — Head Mare e Twelve — che si sono distinti per una serie di sofisticate operazioni contro infrastrutture russe nel 2024. L’analisi dettagliata delle tecniche, degli strumenti e delle infrastrutture impiegate rivela non solo sovrapposizioni nei metodi, ma anche una vera e propria cooperazione strutturata, condivisione di strumenti e una convergenza operativa.
Head Mare e Twelve: evoluzione tecnica e accesso iniziale
Gli attacchi recenti di Head Mare mostrano un’evoluzione tecnica importante rispetto alle campagne precedenti. Mentre in passato l’accesso iniziale si limitava a campagne phishing con allegati malevoli, ora si osserva un uso combinato di compromissione di fornitori terzi, accesso RDP abusivo e sfruttamento di vulnerabilità software critiche come CVE-2023-38831 (WinRAR) e ProxyLogon (CVE-2021-26855). La presenza di infrastrutture obsolete in ambienti di produzione ha facilitato l’infiltrazione.
Particolarmente rilevante è l’impiego del malware CobInt, finora attribuito unicamente a Twelve, a conferma del legame diretto tra i due gruppi. CobInt è stato usato insieme a PhantomJitter, un backdoor di nuova generazione sviluppato da Head Mare, dimostrando una strategia ibrida tra strumenti noti e nuovi payload.
Persistenza e movimenti laterali
Una volta penetrato il sistema, l’attaccante imposta Localtonet o Cloudflared come servizi permanenti tramite NSSM (Non-Sucking Service Manager), mantenendo l’accesso remoto in modo furtivo. Anche l’uso di service spoofing (file rinominati come wusa.exe, calc.exe, winsw.exe) rientra nelle tecniche di masquerading (T1655), finalizzate all’elusione dei controlli.
I movimenti laterali avvengono tramite utility legittime ma adattate, tra cui mRemoteNG, wmiexec, smbexec, PAExec e PsExec, con privilegio ottenuto tramite exploit o abuso di software gestionali dotati di privilegi amministrativi.
Esfiltrazione e crittografia finale
Per la raccolta ed esfiltrazione dei dati, Head Mare ha utilizzato rclone, uno strumento legittimo di sincronizzazione file, mascherato da wusa.exe. I file rubati (PDF, DOCX, ZIP, ecc.) vengono caricati su server remoti via proxy SOCKS5, con upload filtrato per estensioni e destinato a percorsi precisi nel cloud dell’attaccante.
Una volta completata l’esfiltrazione, i sistemi vengono colpiti da ransomware. In ambienti Windows si utilizza LockBit 3.0, mentre per i dispositivi NAS si ricorre a Babuk. I ransomware sono stati caricati in percorsi critici come C:\Users\{username}\Desktop\locker.exe o C:\Windows\SYSVOL\Intel\locker.exe, spesso con note di riscatto ben strutturate.
Collaborazione con Twelve: prove tecniche e infrastrutturali
Il legame tra Head Mare e Twelve è rafforzato da numerosi elementi convergenti:
- Uso condiviso di CobInt.
- Sovrapposizione delle infrastrutture C2: domini come
360nvidia[.]come indirizzi IP comuni (es.45.156.27[.]115). - PowerShell script comuni come
proxy.ps1emcdrive.ps1. - Nomi di servizio simili (
winsw,winuac) e percorsi condivisi per gli eseguibili (C:\Windows\System32\winsw.exe). - Obiettivi simili: aziende manifatturiere, settori energetici, enti governativi.
Diagrammi basati sul Diamond Model of Intrusion Analysis confermano la sovrapposizione nei TTP (Tactics, Techniques, and Procedures) e suggeriscono che Head Mare agisca come satellite operativo o partner diretto di Twelve.
L’evidenza raccolta suggerisce che Head Mare e Twelve stiano operando in stretta collaborazione, condividendo accessi, malware e risorse di comando e controllo. Head Mare ha rapidamente evoluto le sue capacità, dimostrando elevata adattabilità nell’impiego di backdoor modulari, tecniche stealth avanzate e infrastrutture resilienti.
Il panorama delineato da Kaspersky evidenzia la crescente convergenza tra gruppi APT e hacktivisti, unendo competenze tecniche a motivazioni ideologiche. La collaborazione tra Head Mare e Twelve potrebbe rappresentare un nuovo paradigma operativo nel contesto dell’hacktivismo sponsorizzato o facilitato da stati nazionali.
