POLONIUM è un gruppo di cyberspionaggio documentato per la prima volta da Microsoft nel giugno 2022 che si concentra principalmente su obiettivi israeliani.
I ricercatori di ESET hanno recentemente analizzato backdoor personalizzate e tool di cyberspionaggio precedentemente non documentati, distribuiti in Israele dal gruppo APT POLONIUM. ESET ha denominato le cinque backdoor con il suffisso “-Creep”. Secondo quanto emerso, POLONIUM ha rivolto l’attenzione a più di una dozzina di organizzazioni in Israele a partire almeno dal settembre 2021, mentre le azioni più recenti del gruppo sono state osservate nel settembre di quest’anno. I settori verticali presi di mira da questo gruppo spaziano da ingegneria, informatica, giustizia, comunicazioni, branding e marketing, media, assicurazioni e servizi sociali. POLONIUM è un gruppo di cyberspionaggio documentato per la prima volta da Microsoft nel giugno 2022. L’azienda ritiene che il gruppo abbia sede in Libano e coordini le proprie attività con altri soggetti affiliati al Ministero dell’Intelligence e della Sicurezza iraniano.
Secondo ESET Research, POLONIUM è un player di minacce molto attivo che dispone di un vasto arsenale di tool malware che vengono costantemente aggiornati e sviluppati. Una caratteristica comune a diversi tool è lo sfruttamento di servizi cloud come Dropbox, Mega e OneDrive per le attività di command and control (C&C). Le informazioni e i rapporti ufficiali su POLONIUM sono scarni.
“Le numerose versioni e modifiche introdotte da POLONIUM nei suoi tool personalizzati dimostrano uno sforzo continuo e a lungo termine per spiare le organizzazioni che il gruppo ha scelto come obiettivi. ESET può dedurre dal set di strumenti che utilizzano che sono interessati a raccogliere dati riservati. Il gruppo non sembra impegnato in azioni di sabotaggio o ransomware”, afferma Matías Porolli, ricercatore di ESET che ha analizzato il malware.
Il set di strumenti di POLONIUM consiste in sette backdoor personalizzate: CreepyDrive, che sfrutta i servizi cloud OneDrive e Dropbox per il C&C; CreepySnail, che esegue i comandi ricevuti dall’infrastruttura degli aggressori; DeepCreep e MegaCreep, che utilizzano rispettivamente i servizi di archiviazione file Dropbox e Mega; e FlipCreep, TechnoCreep e PapaCreep, che ricevono i comandi dai server degli aggressori. Il gruppo ha anche sviluppato diversi moduli personalizzati per spiare i propri bersagli.