XDSpy è il nome di un gruppo di hacker che da anni conduce operazioni di cyber spionaggio contro istituzioni statali e private in Russia e in altri paesi dell’Europa orientale e dei Balcani.

Tra i suoi obiettivi ci sono il ministero degli Esteri russo, enti militari, finanziari, energetici, di ricerca e minerari. Il gruppo usa email truccate con file o link infetti per installare un malware spia sui computer delle vittime. Questo malware è in grado di fare screenshot, controllare le chiavette USB, recuperare le password e inviare i documenti rubati ai server degli hacker. In alcuni casi, cerca anche di localizzare il computer infetto usando i nomi delle reti Wi-Fi vicine.

XDSpy è attivo dal 2011 ma è rimasto quasi invisibile fino al 2020, quando una società russa di sicurezza informatica, la Kaspersky Lab, ha rivelato la sua esistenza. Il ministero degli Esteri russo ha confermato di aver subito degli attacchi da parte di XDSpy ma di averli bloccati e di aver protetto i suoi dati. Non si sa per quale paese o organizzazione lavorino questi hacker e quali siano le loro motivazioni.

“XDSpy è un gruppo vecchio, poco studiato ma molto pericoloso “ , osserva Dmitry Kupin, Lead Malicious Code Analysis Specialist presso Group-IB Threat Intelligence. “Sebbene molti esperti di società internazionali, ritengano che il gruppo stesso sia attivo almeno dal 2011, fino ad oggi abbiamo purtroppo sottovalutato la portata dei suoi attacchi, in quanto molto nascost e sotto traccia.

XDSpy fa parte della categoria degli APT (Advanced Persistent Threat), ovvero dei quei gruppi di hacker che agiscono con tecniche sofisticate e con obiettivi a lungo termine, “poco rumure e tanto lavoro“. Secondo gli esperti di ESET, una società che si occupa di sicurezza informatica, XDSpy non ha nessuna relazione con altri gruppi APT noti e che operano in particolare nella regione russa. Una particolarità di questi attacchi è che gli sviluppatori del malware sono professionisti che riescono a lavorare in un fuso orario simile a quello delle loro vittime.

XDSpy ha usato diversi nomi per il suo malware spia, tra cui XDDown, XDRecon, XDList e XDUpload. Questi nomi derivano dalle stringhe presenti nel codice del malware. Il malware è leggermente offuscato usando tecniche di obfuscamento delle stringhe e caricamento dinamico delle librerie API di Windows. Il malware si connette poi ai server degli hacker usando protocolli come HTTP, SMTP o FTP.

XDSpy ha attaccato anche altri paesi oltre alla Russia, tra cui Bielorussia, Moldavia, Serbia e Ucraina. Tra i documenti rubati ci sono file Word, Excel, PowerPoint e PDF. Alcuni di questi documenti contengono informazioni sensibili o riservate riguardanti la politica interna ed estera dei paesi colpiti.