Si chiama UNC2559 il gruppo di hacker che Mandiant ritiene ben equipaggiato, vista la considerevole infrastruttura messa in piedi, la cura e le cautele utilizzate nelle attività di phishing e il grado di sofisticatezza dei malware programmati a livello professionale.

A dicembre 2020, infatti, Mandiant ha rilevato una campagna di phishing a livello globale e ha identificato tre nuove famiglie di malware denominate: DOUBLEDRAG, DOUBLEDROP e DOUBLEBACK.

Durante la raffica iniziale, Mandiant ha raccolto le prove secondo cui 28 organizzazioni hanno ricevuto email di phishing, anche se il target era probabilmente più ampio di quanto osservato direttamente. Queste email sono state inviate utilizzando 26 indirizzi email unici associati al dominio tigertigerbeads<.>com, e solo in un piccolo numero di casi gli esperti di Mandiant hanno visto lo stesso indirizzo utilizzato da più organizzazioni destinatarie.

Queste email di phishing contenevano link in linea a URL dannosi come hxxp://totallyhealth-wealth[.]com/downld-id_mw<redacted>Gdczs, progettati per indurre la vittima a scaricare un file.

UNC2529 ha impiegato almeno 24 domini diversi per sostenere questo primo, di un processo a tre fasi.

All’interno di un più dettagliato blog pubblicato a firma di Nick Richard, Dimiter Andonov, gli esperti di Fireeye illustrano le funzionalità e i processi utilizzati dal nuovo gruppo di hacker UNC2559.

Le vittime di questo Gruppo includono aziende operanti negli Stati Uniti, nell’area comprendente Europa, Medio Oriente e Africa, in Asia e Australia. Questi obiettivi così diversificati suggeriscono che la motivazione delle attività sia quello di ottenere un vantaggio economico.