Attacco informatico su una compagnia energetica azera: la minaccia di FangSparrow Recentemente, un’azienda energetica dell'Azerbaigian, attiva nel settore petrolifero e del gas, è stata colpita da una serie di attacchi informatici orchestrati da un gruppo di hacker riconducibile alla Cina.…
Attacco informatico su una compagnia energetica azera: la minaccia di FangSparrow
Recentemente, un’azienda energetica dell’Azerbaigian, attiva nel settore petrolifero e del gas, è stata colpita da una serie di attacchi informatici orchestrati da un gruppo di hacker riconducibile alla Cina. Questo attacco, descritto come una “invasione a più ondate”, è avvenuto tra la fine di dicembre 2025 e la fine di febbraio 2026. La campagna sembra avere come obiettivo non solo il furto di dati, ma anche il rafforzamento della propria infrastruttura di attacco.
Un hackeraggio organizzato
La compagnia azera è stata nel mirino di un gruppo noto come FamousSparrow, un’attività di cyber spionaggio che opera con modalità già osservate in altri attacchi contro infrastrutture critiche a livello globale. Secondo l’analisi di Bitdefender, questa operazione si è caratterizzata per la capacità di utilizzare lo stesso punto di accesso vulnerabile, un server Microsoft Exchange, per eseguire vari attacchi durante un periodo di tempo. Nonostante diversi tentativi di riparazione, gli hacker sono riusciti a sostituire i backdoor installati ad ogni attacco, utilizzando strumenti come il Deed RAT (una variante di ShadowPad) e il TernDoor.
Tecniche di attacco sofisticate
L’aspetto più preoccupante di questa offensiva è la capacità degli attaccanti di adattarsi e evolversi. Per esempio, i cybercriminali hanno sfruttato la catena ProxyNotShell per ottenere accesso iniziale e per stabilire una presenza persistente all’interno della rete compromessa. Bitdefender ha riferito che, dopo l’accesso, sono stati tentati numerosi tentativi di implementazione di web shell e di DLL side-loading, tecniche evolute utilizzate per mascherare il malware e garantire l’esecuzione senza destare sospetti.
È importante notare che l’uso del DLL side-loading non è un approccio nuovo, ma la modalità impiegata dagli attaccanti in questo caso ha mostrato una sofisticazione notevole. La strategia ha previsto la manipolazione di due funzioni esportate all’interno della libreria malevola, creando un “trigger” a due stadi che ha permesso di eseguire il Deed RAT attraverso il flusso di controllo naturale dell’applicazione legittima.
Riflessioni sull’impatto
Questa serie di attacchi giunge in un momento critico, poiché l’Azerbaigian sta assumendo un ruolo sempre più rilevante nella sicurezza energetica europea, specialmente dopo l’accordo di transito del gas russo in Ucraina e le recenti tensioni nel Mar di Hormuz. La minaccia di attacchi informatici come questi non solo compromette le operazioni di aziende strategiche ma può anche avere ripercussioni dirette sulle forniture energetiche a livello europeo, coinvolgendo inevitabilmente anche l’Italia.
Gli attacchi informatici di questo tipo evidenziano l’importanza crescente della cybersecurity, specialmente per le aziende che operano in settori strategici. È cruciale che queste organizzazioni implementino misure di sicurezza informatica robuste e forniscano formazione adeguata ai propri dipendenti per riconoscere e rispondere alle minacce.
Conclusione
La sequenza di attacchi informatici contro l’azienda energetica azera rappresenta un avvertimento sulle vulnerabilità persistenti nel panorama della cybersecurity globale. Le aziende, specialmente in settori critici come l’energia, devono restare vigilanti e investire in soluzioni di sicurezza proattive. Inoltre, è importante che le istituzioni europee collaborino per creare un ambiente sicuro e resiliente, proteggendo così sia i propri interessi economici che la sicurezza dei cittadini.
