Francia, Germania e Azerbaigian accusano la Russia di cyberspionaggio

Fra aprile e i primi giorni di maggio, le Autorità francesi, tedesche ed azerbaigiane hanno pubblicamente accusato la Russia di aver lanciato campagne di cyberspionaggio contro realtà governative, settori critici e operatori dell’informazione dei rispettivi Paesi, indicando i responsabili operativi in avversari state-sponsored noti.

Sofacy contro molteplici organizzazioni in Francia

Il Ministero degli Esteri francese ha accusato l’APT Sofacy di aver preso di mira o violato una dozzina di entità francesi negli ultimi quattro anni. Inoltre, in un rapporto separato, l’Agenzia nazionale francese per la sicurezza dei sistemi informativi (ANSSI) ha affermato che l’elenco delle organizzazioni francesi impattate da questo avversario a partire dal 2021 comprende enti ministeriali e amministrazioni locali, organizzazioni della base tecnologica e industriale della Difesa, enti aerospaziali, organizzazioni di ricerca, think-tank ed enti del settore economico e finanziario.

L’ANSSI ha elencato diverse campagne degne di nota, alcune delle quali hanno ripetutamente preso di mira i server di posta elettronica Roundcube e altre hanno utilizzato servizi web gratuiti per gli attacchi di phishing. Dall’inizio del 2024, le campagne di Sofacy si sarebbero concentrate principalmente sul furto di intelligence strategica, non solo in Francia, ma anche nel resto d’Europa, in Ucraina e Nord America.

APT29 colpisce due volte la Società tedesca per gli studi sull’Europa orientale

Il quotidiano BILD ha segnalato un massiccio attacco informatico di origine russa che ha impattato la Società tedesca per gli studi sull’Europa orientale (DGO). Questo sarebbe il secondo incidente della stessa tipologia subito dalla DGO nell’arco di meno di un anno. Gli aggressori sono riusciti ad aggirare le misure di sicurezza – rafforzate dopo l’offensiva dell’estate 2024 – e, come già avvenuto in quell’occasione, hanno avuto accesso al server di posta e trafugato e-mail per ottenere informazioni sul lavoro svolto dai ricercatori. Un portavoce della DGO avrebbe dato per accertata la matrice russa delle violazioni e gli analisti le avrebbero associate al gruppo state-sponsored APT29.

A riprova dell’interesse del Cremlino per il settore delle analisi geostrategiche, va considerato che la DGO è stata la prima istituzione scientifica tedesca ad essere contemplata nel novero delle “organizzazioni estremiste” (luglio 2024) e che a fine marzo 2025 la Deutsche Gesellschaft für Auswärtige Politik è stata inserita nella lista delle “organizzazioni non gradite” in Russia.

Tali interventi hanno conseguenze serie per il mondo scientifico, poiché rendono passibili di azioni legali ricercatori e strutture gestionali, determinando potenziali censure ad un lavoro di ricerca che si basa sulla libertà di pensiero.

APT29 prende di mira i media in Azerbaigian

Nei primi giorni di maggio, il Presidente della Commissione temporanea contro le interferenze straniere e le minacce ibride dell’Assemblea nazionale dell’Azerbaigian, il parlamentare Ramid Namazov, ha riferito in merito ad attacchi informatici sferrati il 20 febbraio 2025 contro diversi media del Paese. Intervenendo ad una audizione pubblica organizzata dalla Commissione su questo tema, Namazov ha affermato che le offensive sono state attribuite al russo APT29, il quale avrebbe agito per ritorsione contro due eventi. Il primo, risalente al 3 febbraio, sarebbe la chiusura e la sospensione delle attività, per grave violazione dei requisiti di legge, del Centro russo di informazione e cultura “Russkij Dom”, che non era registrato come persona giuridica nel Paese. L’altro è la liquidazione dell’Ufficio di rappresentanza di Rossiya Segodnya (Sputnik) in Azerbaigian, procedimento che a febbraio era ancora in fase di negoziazione.

Il contesto

Il recente incidente tedesco conferma la valutazione dei servizi di intelligence di Berlino secondo cui istituzioni come la DGO sarebbero nel mirino della guerra ibrida russa. I due avversari presi in causa sono effettivamente fra i più attivi in questo contesto strategico.

APT29 – associato al Servizio informazioni estero di Mosca (SVR) – è l’autore di campagne di spionaggio che hanno preso di mira, fra numerose Big tech globali come Microsoft e HPE (Hewlett Packard Enterprise), anche la tedesca TeamViewer, uno dei maggiori provider di soluzioni innovative per la connettività e il supporto remoto. Inoltre, almeno da gennaio 2025, sta conducendo una sofisticata campagna in Europa, contro Ministeri degli Affari Esteri e ambasciate di altri Paesi, nonché diplomatici con sede in Medio Oriente.

Sofacy – legato al servizio di intelligence militare del Cremlino (GRU) – dopo le vaste operazioni del 2022-2023, è accusato di aver colpito a settembre 2024 la Deutsche Flugsicherung, società statale tedesca responsabile del controllo del traffico aereo del Paese. Inoltre, gli si attribuiscono attacchi contro i partiti tedeschi dei cristiano-democratici (CDU) e dei socialdemocratici (SPD), denunciati alla vigilia delle elezioni per il Parlamento Europeo di giugno 2024.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence