ForumTroll e gli attacchi APT: analisi di una campagna di cyberspionaggio

ForumTroll è un gruppo APT responsabile di una recente campagna di cyberspionaggio. Analisi dei malware e vulnerabilità sfruttate.

Nel mondo della sicurezza informatica, le minacce portate avanti dai gruppi APT (Advanced Persistent Threat) sono tra le più difficili da rilevare e da contenere. Stiamo infatti parlando di attori malevoli con risorse importanti e competenze tecniche elevate, che pianificano operazioni mirate e prolungate nel tempo, spesso con obiettivi di spionaggio, furto di informazioni o compromissione persistente.

A metà marzo 2025, il team GReAT di Kaspersky ha pubblicato un’analisi relativa a una campagna malevola attiva almeno dal 2022. L’operazione è stata attribuita a un gruppo APT che i ricercatori hanno battezzato ForumTroll. Dalle evidenze raccolte è emerso che, tra i malware impiegati nella catena d’attacco, è presente almeno un componente riconducibile a un’origine italiana.

La vulnerabilità sfruttata
I malware impiegati negli attacchi
La campagna di spear-phishing

forumtroll gruppo apt cyberspionaggio image

In questo articolo analizzeremo come ForumTroll ha condotto la campagna, quali strumenti ha utilizzato e quale ruolo hanno avuto i diversi payload osservati. Infine, come è nostra consuetudine, vedremo le principali linee guida da seguire per prevenire questo tipo di minaccia.

La vulnerabilità sfruttata

Gli attaccanti hanno sfruttato CVE-2025-2783, una vulnerabilità zero-day di Google Chrome per sistemi Windows. La falla consentiva di aggirare le protezioni della sandbox del browser a causa di una validazione non corretta degli handle utilizzati nella comunicazione tra il processo del browser e il sistema operativo. La stessa vulnerabilità era sfruttabile anche su altri browser basati su Chromium, come:

Microsoft Edge;
Opera;
Brave.

Secondo quanto riportato dai ricercatori di Kaspersky, CVE-2025-2783 non veniva utilizzata come exploit isolato, ma faceva parte di una catena di attacco molto più ampia. In particolare, l’exploit era combinato con una seconda vulnerabilità, al momento della pubblicazione di questo articolo non ancora identificata pubblicamente, che consentiva di completare la compromissione del sistema.

Kapersky non ha mancato di sottolineare come la catena di infezione osservata, richiedesse competenze tecniche avanzate e una profonda conoscenza dei meccanismi interni di Windows e dei browser Chromium-based. Un elemento che rafforza ulteriormente l’attribuzione della campagna a un gruppo APT esperto e ben finanziato.

I malware impiegati negli attacchi

Il team di Kaspersky ha identificato due malware distinti utilizzati dal gruppo ForumTroll nel corso della campagna: LeetAgent e Dante. Vediamoli nel dettaglio.

LeetAgent

LeetAgent è uno spyware che si distingue per una caratteristica piuttosto insolita nel panorama APT: l’utilizzo del leetspeak per la definizione dei comandi. Si tratta di qualcosa molto raro tra i malware APT, ma che contribuisce a renderlo meno riconoscibile nelle fasi di analisi.

Il suo compito principale è stabilire una comunicazione persistente con i server di comando e controllo (C2), il cui indirizzo è specificato all’interno della configurazione del malware. La comunicazione avviene tramite protocollo HTTPS e i comandi vengono identificati da specifici valori numerici, tra cui

0xC033A4D (COMMAND): esecuzione di comandi tramite cmd.exe;
0xECEC (EXEC): avvio di un processo sul dispostivo compromesso;
0x6E17A585 (GETTASKS): recupero dell’elenco dei task che il malware sta attualmente eseguendo;
0x6177 (KILL): terminazione di un task in corso.

Oltre all’esecuzione remota dei comandi, LeetAgent è in grado di svolgere attività di keylogging e di esfiltrare file in background. I file maggiormente presi di mira includono documenti con estensione .doc, .xls, .ppt, .rtf, .pdf, .docx, .xlsx, .pptx.

Nella maggior parte dei casi osservati, ForumTroll ha fatto uso dell’infrastruttura cloud di Fastly.net per ospitare o veicolare i propri server C2. La stessa infrastruttura è stata utilizzata anche per il download di ulteriori strumenti, tra cui 7-Zip, Rclone e SharpChrome, impiegati per l’esfiltrazione e la gestione dei dati sottratti.

Dante

In alcuni casi, LeetAgent è stato utilizzato come primo stadio per il rilascio di un secondo malware, denominato Dante. Si tratta di uno spyware sviluppato dall’azienda Memento Labs, precedentemente nota come Hacking Team, e progettato originariamente per la distribuzione commerciale. Analogamente a LeetAgent, anche Dante consente l’esecuzione remota di codice sui sistemi compromessi, ma opera a un livello più avanzato. Il malware integra infatti numerosi meccanismi di anti-analisi pensati per ostacolare il lavoro dei team di sicurezza.

Tra questi spicca VMProtect, uno strumento impiegato per offuscare il flusso di esecuzione del codice, nascondere le funzioni importate e introdurre tecniche di anti-debugging. Inoltre, Dante adotta un metodo particolare e sofisticato per l’analisi dell’ambiente di esecuzione. Una volta nel sistema, interroga il Windows Event Log alla ricerca di eventi che possano indicare la presenza di strumenti di analisi malware o ambienti sandbox.

Dante rimane in ascolto in attesa di istruzioni dai server C2. Nel caso in cui non riceva comandi per un determinato periodo di tempo, il malware si elimina autonomamente dal sistema, provvedendo anche a cancellare le tracce delle attività svolte.

La campagna di spear-phishing

Uno dei principali attacchi condotti da ForumTroll è stato una campagna di spear phishing mirata, basata sull’invio di e-mail contenenti un URL malevolo. I messaggi facevano riferimento a un presunto seminario denominato Primakov Readings, dedicato a Evgenij Maksimovič Primakov, ex primo ministro russo in carica alla fine degli anni Novanta. Le e-mail, scritte in russo, erano prive di errori grammaticali o ortografici, favorendo un tono istituzionale e altamente credibile.

Il collegamento incluso nel messaggio apriva direttamente la pagina web controllata dagli attaccanti tramite il browser della vittima, senza richiedere ulteriori interazioni per l’avvio della catena di infezione. Gli URL risultavano inoltre personalizzati per ciascun destinatario e avevano una validità temporale limitata, una scelta utile a ridurre la possibilità di analisi e rilevamento.

Questa campagna di spear phishing ha colpito diversi obiettivi situati in Russia, nello specifico:

Testate giornalistiche;
Università;
Centri di ricerca;
Enti governativi;
Istituzioni finanziarie.

Conclusioni

Alcuni analisti ritengono che gli autori della campagna non siano di madrelingua russa e che ForumTroll possa rientrare in un’operazione di hacking sponsorizzata da uno Stato, anche alla luce dell’attuale contesto geopolitico. Tuttavia, allo stato attuale, queste ipotesi restano speculative. L’origine dei malware impiegati e la natura dei bersagli colpiti non costituiscono elementi sufficienti per attribuire con certezza l’attività a un attore statale o a uno specifico Paese.

Inoltre, è altamente probabile che le stesse modalità di attacco possano essere utilizzate per colpire obiettivi situati in altri Paesi. Perciò, per proteggersi da questo tipo di minacce, è fondamentale applicare alcune semplici ma efficaci best practices di sicurezza.

Aggiornare regolarmente i propri programmi e sistemi.
Gli aggiornamenti contengono patch di sicurezza che correggono vulnerabilità sfruttabili per eseguire attacchi informatici.
Prestare attenzione a messaggi provenienti da mittenti sconosciuti o sospetti.
Questi messaggi rappresentano infatti il vettore iniziale di un attacco di phishing, che può portare alla violazione del proprio dispositivo.
Utilizzare filtri antispam per la propria casella di posta elettronica.
In questo modo, è possibile individuare e bloccare tempestivamente poteziali tentativi di phishing.
Scaricare programmi e applicazioni solo da distributori ufficiali.
I software scaricati da canali di terze parti, infatti, contengono molto spesso file malevoli che portano all’installazione di malware.
Utilizzare sistemi antimalware affidabili e aggiornati.
Soluzioni di sicurezza come Sophos aiutano a individuare e isolare eventuali programmi malevoli presenti nel proprio dispositivo.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.