Cyber spionaggio o scherzo? Proofpoint esamina l’attività di TA499, conosciuto per i comici Vovan e Lexus che raggirano rappresentanti pubblici e privati. Ultima, in ordine cronologico, Giorgia Meloni. Vovan e Lexus sono nomi saliti alla ribalta in ottobre, quando i due, definiti come comici russi, hanno contattato telefonicamente la premier Giorgia Meloni. Una telefonata che ha riguardato più temi, compreso quello della guerra in Ucraina, divulgandone poi pubblicamente i contenuti.
Disinformazione e propaganda
Proofpoint segue da tempo le azioni di questo gruppo, noto anche con il nome TA499, inizialmente attivo con campagne di email malevole. Partite a inizio del 2021, le campagne hanno iniziato ad aumentare a fine gennaio 2022, culminando in tentativi sempre più aggressivi dopo l’invasione dell’Ucraina da parte della Russia a fine febbraio 2022. Da quel momento, l’attore della minaccia si è impegnato in un’attività costante ampliando il target.
Qual è il target
Un target che include uomini d’affari e persone di alto profilo che hanno fatto grandi donazioni agli sforzi umanitari ucraini o che hanno rilasciato dichiarazioni pubbliche sulla disinformazione e la propaganda russa. Questi messaggi cercano di sollecitare informazioni dalle persone prese di mira e di invogliarle a entrare in contatto con loro tramite telefonate o video a distanza. Le email non contengono malware, ma solo comunicazioni o inviti che sembrano provenire da un’ambasciata ucraina, dal primo ministro ucraino, da un parlamentare ucraino o dai loro assistenti.
Vovan e Lexus/Gruppo TA499
Proofpoint ritiene che TA499 sia una coppia di disinformatori, che basa le sue azioni sull’impersonificazione a sfondo patriottico, composta da attori allineati con lo stato russo. Il gruppo ha preso di mira persone di alto profilo che si sono espresse contro il regime russo, a favore delle sanzioni contro la Russia e contro la detenzione del leader dell’opposizione russa Alexei Navalny. Sebbene non si conosca il livello di supporto ufficiale che TA499 riceve dal governo, le registrazioni vengono generalmente utilizzate per raccogliere sostegno e simpatia per l’attuale regime russo e le sue azioni.
Il modus operandi
Le conversazioni con TA499 iniziano in genere in modo positivo puntando a far rilasciare all’obiettivo quante più informazioni possibili. Una volta che quest’ultimo inizia a fare domande, l’attore rispecchia le risposte per mantenere viva la conversazione. In alcuni video del 2021, l’imitatore di Leonid Volkov chiede sostegno finanziario e sembra incoraggiare l’obiettivo a esprimere obblighi e sforzi in sintonia con l’opposizione russa guidata da Navalny. Una volta che la vittima effettua una dichiarazione in merito, il video cambia tono cercando di cogliere la persona in commenti o atti imbarazzanti. Le registrazioni vengono poi modificate per enfatizzarle e messe su YouTube e Twitter per il pubblico russo e anglofono.
Vovan e Lexus/Gruppo TA499: cyber spionaggio o scherzo?
TA499 è un gruppo molto noto che si sta guadagnando un seguito di fan. Hanno personaggi che pubblicano online il materiale discusso in questo report. Inoltre si esibiscono in ricostruzioni sui media sponsorizzati dallo stato russo e partecipano a conferenze. È improbabile che la guerra tra Russia e Ucraina finisca a breve termine e che l’Ucraina continui a raccogliere il sostegno di organizzazioni di tutto il mondo, Quindi Proofpoint ritiene che TA499 cercherà di continuare con le sue campagne a sostegno dei suoi contenuti di influencer e della sua agenda politica. È probabile anche che riutilizzi vecchie infrastrutture o ne crei di nuove a sostegno di questa attività.
Procedere sempre con cautela
Essere un target di questo gruppo sta diventando gradualmente più comune. L’obiettivo principale di TA499 sono personalità pubbliche e livelli manageriali top in azienda, Tuttavia Proofpoint raccomanda a chiunque sospetti di essere un suo target di verificare con attenzione l’identità di chi lo invita a condurre affari o a discutere di argomenti politici in videoconferenza. In particolare, se individui di alto profilo si facessero vivi all’improvviso via email, senza essere stati presentati da una fonte nota e verificata, è bene procedere con cautela.