L’intelligence russa punta a Signal e WhatsApp: USA offre 10 milioni per i gruppi UNC5792 e UNC4221
@Informatica (Italy e non Italy)
Il Dipartimento di Stato USA ha lanciato un bounty da 10 milioni di dollari per i gruppi russi UNC5792 e UNC4221, responsabili di campagne di phishing contro Signal e WhatsApp. FBI e CISA documentano l'evoluzione
L’intelligence russa punta a Signal e WhatsApp: USA offre 10 milioni per i gruppi UNC5792 e UNC4221
Si parla di:
ToggleIl Dipartimento di Stato americano ha messo sul piatto 10 milioni di dollari per chi fornira’ informazioni utili a identificare o localizzare i membri dei gruppi UNC5792 e UNC4221, entrambi legati ai servizi di intelligence militare e al FSB russo. Nel frattempo, FBI e CISA hanno aggiornato il loro advisory di marzo 2026 con una nuova tattica individuata nella campagna: il furto delle Signal Backup Recovery Key, che consente agli attaccanti di accedere all’intera cronologia dei messaggi delle vittime.
Chi sono UNC5792 e UNC4221
I due gruppi, tracciati pubblicamente con i designatori UNC di Mandiant/Google, operano nell’ambito dei servizi segreti russi. UNC5792 e’ associato all’FSB (Federal Security Service), in particolare agli ufficiali embedded nelle Guardie di Frontiera russe; UNC4221 opera invece per conto dei servizi militari russi. Le attivita’ delle due entita’ si sovrappongono parzialmente: entrambi prendono di mira individui di alto valore informativo attraverso campagne di phishing su applicazioni di messaggistica, in particolare Signal e WhatsApp.Il profilo delle vittime e’ estremamente specifico e rivela gli obiettivi dell’intelligence russa: funzionari governativi statunitensi e NATO (attuali ed ex), vertici militari, figure politiche, analisti di policy, giornalisti che coprono Russia e Ucraina, ONG attive in supporto all’Ucraina e ricercatori di sicurezza o esperti di affari russi. Secondo l’annuncio ufficiale del programma Rewards for Justice, migliaia di account individuali sono stati compromessi in questo modo.
La storia della campagna: dall’account linking al furto delle Recovery Key
La campagna non nasce oggi. Il primo advisory pubblico di FBI e CISA risale a marzo 2026, quando gli analisti avevano documentato una tecnica di compromissione basata sull’abuso della funzione legittima di device linking di Signal. Gli attaccanti, spacciandosi per il supporto di Signal, inducevano le vittime a collegare un dispositivo controllato dagli attaccanti al proprio account, consentendo la lettura in tempo reale delle conversazioni senza compromettere la crittografia end-to-end del protocollo.L’advisory aggiornato del 26 giugno 2026 documenta l’evoluzione della tattica. Gli operatori hanno ora spostato il loro obiettivo primario: non piu’ solo l’intercettazione in tempo reale, ma il furto delle Signal Backup Recovery Key — le chiavi che proteggono le copie cifrate dell’intera cronologia dei messaggi nei server Signal Secure Backups. Si tratta di un cambio di paradigma operativo significativo: con la Recovery Key, l’attaccante puo’ recuperare su un proprio dispositivo tutti i messaggi storici della vittima, incluse conversazioni private e di gruppo potenzialmente risalenti a mesi o anni.
Come funziona l’attacco in dettaglio
La catena di attacco si articola in due fasi di social engineering, entrambe condotte direttamente su Signal spacciandosi per il team di supporto della piattaforma:Fase 1: il pretesto
La vittima riceve un messaggio che afferma che Signal ha registrato un’ondata di attacchi da parte di “hacker iraniani e di paesi post-sovietici” e che, in risposta, la piattaforma sta introducendo una verifica obbligatoria a due fattori. Per “non perdere messaggi e media”, l’utente viene guidato passo per passo ad abilitare i backup e a visualizzare la propria Recovery Key:Istruzioni fornite dagli attaccanti nel messaggio di phishing: Settings -> Backups -> Enable backups -> View recovery key -> Copy to clipboard -> Next -> Enter the recovery key -> Next -> Continue -> Choose your backup plan [Premere "Accept" nel pop-up]
Questa sequenza e’ reale: seguendo questi passi, l’utente attiva effettivamente Signal Secure Backups e genera una Recovery Key legittima. La chiave viene copiata negli appunti del dispositivo.Fase 2: l’estrazione della chiave
Poco dopo, sempre spacciandosi per Signal, gli attaccanti inviano un secondo messaggio urgente che avvisa l’utente di un “problema di sincronizzazione” che metterebbe a rischio la perdita permanente dei dati. Per “risolvere il problema”, vengono chiesti di andare nelle impostazioni di backup, copiare la Recovery Key e incollarla nel messaggio di chat. Se la vittima esegue, gli attaccanti ottengono la chiave in chiaro.Con la Recovery Key in mano, gli attaccanti possono ripristinare il backup cifrato su qualsiasi loro dispositivo, scaricando l’intera cronologia messaggi della vittima dai server di Signal. L’operazione e’ completamente silenziosa per la vittima: nessuna notifica, nessun alert sul dispositivo.
La trappola del recovery: perche’ cambiare account non basta
FBI e CISA sottolineano un aspetto critico spesso sottovalutato: se un attaccante ottiene la Recovery Key di un utente, creare un nuovo account Signal con lo stesso numero di telefono non invalida la chiave compromessa. L’attaccante puo’ continuare a utilizzare quella chiave per scaricare i backup gia’ acquisiti, anche dopo che la vittima ha cambiato account.L’unica azione risolutiva e’ generare una nuova Recovery Key attraverso le impostazioni di backup di Signal, che invalida la chiave precedente per i download futuri. Tuttavia — e questa e’ la parte piu’ critica — una nuova chiave non impedisce l’accesso ai backup che l’attaccante ha gia’ scaricato prima del cambio.
Il bounty e gli obiettivi del programma Rewards for Justice
Il programma statunitense Rewards for Justice (RFJ) ha pubblicato il 29 giugno 2026 un annuncio specifico per UNC5792 e UNC4221, offrendo fino a 10 milioni di dollari per informazioni su:
- Identita’, localizzazione, affiliazioni e biografie dei membri dei gruppi e del personale di supporto.
- Legami con i servizi di intelligence russi, contractor e fornitori terzi.
- Infrastruttura operativa: domini, server, hosting, strumenti, framework e software.
- Fonti di finanziamento, conti bancari, meccanismi di pagamento.
- Wallet di criptovaluta, transazioni blockchain e reti finanziarie a supporto delle operazioni.
L’entita’ del bounty — identica a quella offerta per i responsabili di attacchi ransomware contro infrastrutture critiche — segnala quanto Washington consideri questa campagna una minaccia alla sicurezza nazionale, non un semplice problema di cybercrime.
Il fronte ucraino: SMS fasulli per rubare credenziali
Parallelamente all’advisory FBI/CISA, l’Ucraina ha confermato che l’intelligence russa ha utilizzato falsi messaggi SMS di “supporto tecnico” per indurre utenti ucraini a rivelare le credenziali dei propri account di messaggistica. La tattica e’ la stessa: impersonare un servizio tecnico legittimo, creare urgenza attraverso una narrativa di sicurezza, estrarre credenziali o chiavi di backup. Il coordinamento tra le due campagne — quella focalizzata su obiettivi occidentali (UNC5792/UNC4221) e quella contro obiettivi ucraini — suggerisce un’operazione di intelligence integrata sotto ombrello comune.Consigli pratici per i difensori e gli utenti a rischio
Signal e le sue comunicazioni cifrate restano tecnicamente integre: la crittografia end-to-end del protocollo Signal non e’ stata compromessa. Il vettore e’ esclusivamente il social engineering applicato alla gestione delle chiavi. Le misure di difesa piu’ efficaci sono le seguenti:
- Non condividere mai la Recovery Key: Signal non la chiedera’ mai via messaggio in-app. Qualsiasi richiesta in tal senso e’ un attacco.
- Verificare l’identita’ del mittente: il supporto Signal comunica esclusivamente tramite indirizzi email ufficiali, mai tramite messaggi in-app.
- Controllare i dispositivi collegati: in Settings > Account > Linked Devices, verificare periodicamente che non siano presenti dispositivi non riconosciuti.
- Ruotare la Recovery Key in caso di sospetto: Settings > Backups > Recovery Key > Create new key. Ricordarsi che i backup gia’ scaricati dall’attaccante rimangono accessibili con la vecchia chiave.
- Segnalare attivita’ sospette all’IC3 dell’FBI (ic3.gov) o al proprio ufficio locale FBI.
Per le organizzazioni con personale ad alto rischio (giornalisti, diplomatici, ricercatori, personale ONG), e’ consigliabile implementare sessioni di awareness specifica sulla gestione delle Recovery Key di Signal e sul riconoscimento di questo pattern di social engineering, ormai sufficientemente documentato da considerarsi una tecnica consolidata nel repertorio dell’intelligence russa.