BlueDelta e GRU: evoluzione del credential harvesting nel 2025

Il gruppo russo BlueDelta, ha evoluto le tecniche di credential harvesting nel 2025. Analisi delle campagne e misure difensive.

Le operazioni di spionaggio non avvengono solo mediante exploit e malware. Sempre più spesso, il punto di ingresso rimane lo stesso da oltre vent’anni: le credenziali di accesso. Proprio queste ultime sono state oggetto d’indagine da parte di Recorded Future, che ha documentato una nuova fase operativa del collettivo BlueDelta.

Chi è BlueDelta
Evoluzione del credential harvesting
Obiettivi di BlueDelta
Come proteggersi dal credential harvesting

bluedelta gru credential harvesting image

Tra febbraio e settembre 2025, il gruppo ha condotto una serie di campagne di credential harvesting mirate a istituzioni governative, think tank e organizzazioni legate al settore energetico. Non si tratta di una novità assoluta, ma di un’evoluzione delle tecniche già impiegate in passato.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Chi è BlueDelta

Conosciuto anche come Fancy Bear, o APT28, BlueDelta è un collettivo APT storicamente associato alla Direzione Principale dell’Intelligence Russa (GRU). Il gruppo è attivo da oltre quindici anni ed è specializzato in campagne di cyberspionaggio di stato. Si tratta, in altri termini, di un collettivo cybercriminale sponsorizzato da uno Stato.

Nel corso del tempo, BlueDelta è stato associato a operazioni contro istituzioni governative, organizzazioni militari, think tank e infrastrutture critiche. I suoi attacchi hanno coinvolto principalmente l’Europa, gli Stati Uniti e alcuni Paesi dell’Europa orientale. Le sue attività includono spear phishing, exploit di vulnerabilità zero-day e operazioni di disinformazione, spesso in concomitanza con interessi geopolitici russi.

Ciò che caratterizza BlueDelta non è solo la portata dei suoi attacchi, ma la continuità operativa. In base alle campagne osservate nel 2025, si è scoperta una capacità di adattamento costante. Infatti, il gruppo pone meno enfasi su exploit complessi, ma una grande attenzione alla raccolta di credenziali (credential harvesting). Questa è una strategia che li pone sotto l’attenzione dei radar, poiché possono operare in maniera quasi indisturbata per anni.

Evoluzione del credential harvesting

In base alle osservazioni di Recorded Future, nel corso del 2025 BlueDelta è passato dalla semplice imitazione delle pagine di login ufficiali, alla costruzione di una vera e propria infrastruttura di attacco. Questa si presenta a basso costo e facilmente sostituibile, cosa che permette al gruppo di reagire in tempi brevi a ventuali blocchi, o attività di takedown.

Tutto ciò è ospitato su servizi legittimi e gratuiti, su cui BlueDelta pubblica pagine di phishing e altre per ricevere in tempo reale le credenziali sottratte. In particolare, sono stati scoperti i seguenti servizi a cui il collettivo si appoggia:

Webhook.site;
InfinityFree;
Byet Internet Services;
ngrok.

Com’è facile intuire, l’utilizzo di servizi legittimi rende il tracciamento molto più difficile. Solitamente le campagne del collettivo impiegano degli allegati e-mail in formato PDF, attribuiti a centri di ricerca e organizzazioni legittimi. Questi documenti sono il primo di contatto con la vittima, che aumentano la sua fiducia, prima di reindirizzarla verso una pagina di autenticazione malevola.

Tecniche e strumenti usati

Le pagine di phishing scoperte dalle analisi presentano codice JavaScript personalizzato, progettato per raccogliere le credenziali inserite e trasmetterle immediatamente verso endpoint controllati dagli attaccanti. In alcuni casi, il codice gestisce reindirizzamenti multipli per rendere l’interazione più realistica e simulare errori temporanei di autenticazione. Grazie all’uso di servizi di tunneling come ngrok, è possibile esporre rapidamente un server locale su Internet, facilitando la rotazione dell’infrastruttura. Così facendo, BlueDelta è in grado di sostituire domini e indirizzi IP con estrema rapidità, riducendo l’efficacia delle blacklist tradizionali.

L’evoluzione che i ricercatori di Recorded Future mettono in evidenza, riguarda proprio l’ottimizzazione di strumenti noti. L’integrazione di hosting temporaneo, documenti esca e script personalizzati, crea un ecosistema di phishing più resiliente e difficile da neutralizzare in modo definitivo.

Come funziona un credential harvesting di BlueDelta

Come ogni campagna di phishing, tutto inizia con l’esca in formato PDF. La vittima riceve un allegato solo in apparenza legittimo, che la invita a consultare il contenuto. Si tratta solitamente di temi geopolitici o a questioni di interesse professionale. Nel momento in cui si apre il link in fondo al documento, la vittima viene reindirizzata verso una finta pagina di login, che riproduce fedelmente l’aspetto di un servizio legittimo.

Tra quelli osservati, rientrano:

Microsoft Outlook Web Access;
Google;
Portali VPN Aziendali.

Non appena le proprie credenziali sono inserite, queste vengono immediatamente raccolte tramite script malevoli personalizzati e trasmesse agli attaccanti. In molti casi, la vittima viene poi reindirizzata alla pagina autentica del servizio, riducendo la percezione dell’attacco. Questo passaggio finale serve a mascherare l’operazione, facendo apparire l’evento come un semplice errore di accesso o una sessione scaduta.

Obiettivi di BlueDelta

Secondo le analisi di Insikt Group, è emerso che BlueDelta è molto selettivo nei confronti dei propri bersagli. Come detto in precedenza, il collettivo predilige organizzazioni legate al settore energetico, centri di ricerca, think tank europei e istituzioni governative in Paesi strategicamente rilevanti. In particolare, tra i Paesi bersaglio sono emersi anche Turchia, Macedonia del Nord e Uzbekistan, con una predilezione verso alle strutture connesse alla ricerca nucleare.

La scelta non è assolutamente casuale. Questo perché il furto di credenziali consente l’accesso diretto a comunicazioni interne, documenti riservati e infrastrutture critiche senza la necessità di exploit complessi. In ambito di intelligence, ottenere l’accesso a un singolo account da amministratore può fornire una visione completa delle dinamiche decisionali di un’organizzazione. In tal senso, BlueDelta si muove per spiare a lungo le proprie vittime, piuttosto che condurre operazioni di sabotaggio. Il tutto senza attirare l’attenzione immediata delle difese tradizionali.

Come proteggersi dal credential harvesting

Le attività del collettivo cybercriminale, fanno emergere la necessità di proteggere le proprie credenziali. Pur non esistendo una misura universale, rimangono, però, una serie di best practices che possono essere attuate immediatamente. Vediamole più da vicino.

Abilitare l’autenticazione a più fattori (MFA).
L’uso di token hardware o autenticazione basata su FIDO2/WebAuthn riduce drasticamente l’efficacia delle pagine di login contraffatte, che non possono replicare la validazione crittografica.
Monitorare accessi anomali e tentativi di login falliti.
Accessi da località geografiche insolite o sequenze di autenticazione ripetute devono essere trattati come indicatori di compromissione. L’analisi dei log di autenticazione resta una delle difese più efficaci contro l’uso di credenziali sottratte.
Bloccare e filtrare servizi di hosting sospetti.
L’uso ricorrente di piattaforme gratuite o servizi di tunneling può essere individuato tramite controlli DNS, proxy e sistemi di sicurezza email. Limitare l’accesso verso domini appena registrati o hosting non verificati riduce la superficie di attacco.
Applicare il principio del privilegio minimo (PoLP).
Ridurre i privilegi associati agli account limita l’impatto in caso di compromissione. Un account con accesso ristretto riduce la possibilità di movimento laterale e di escalation all’interno dell’infrastruttura.
Implementare sistemi di protezione dell’identità.
Soluzioni di Identity Threat Detection and Response (ITDR) consentono di identificare comportamenti anomali legati alle credenziali, intercettando utilizzi sospetti anche quando username e password risultano formalmente validi.

In conclusione

In base a quanto discusso, è evidente che il credential harvesting non è una tecnica superata, ma una delle più efficaci nelle operazioni di spionaggio digitale. Nonostante le organizzazioni investano sempre più in difese perimetrali, colpire l’identità dell’utente rimane il metodo più diretto ed efficace per ottenere accesso a informazioni sensibili.

L’evoluzione di BlueDelta osservata nel corso del 2025 dimostra come il phishing si sia evoluto. Tutto grazie al costante impiego di infrastrutture legittime, documenti credibili e script personalizzati. È questa capacità di adattamento continuo, più che la singola campagna, a rappresentare il vero elemento di rischio. Comprendere come operano questi gruppi è il primo passo per proteggere identità, comunicazioni e asset strategici.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.