Il settore energetico del Kazakistan è diventato recentemente il bersaglio di una sofisticata campagna di phishing denominata Operation BarrelFire, orchestrata da un gruppo identificato come Noisy Bear, attivo almeno da aprile 2025. L’attacco ha colpito KazMunaiGas, la principale compagnia petrolifera nazionale, con l’invio di email di phishing mirate ai dipendenti. Queste email utilizzavano un account compromesso del reparto finanziario dell’azienda e simulavano comunicazioni interne, sfruttando temi credibili come aggiornamenti di policy, certificazioni e revisioni salariali.

Gli allegati delle email contenevano un archivio ZIP con un collegamento Windows (file LNK) che fungeva da downloader, un documento civetta relativo a KazMunaiGas e un file README.txt con istruzioni in russo e kazako per avviare un programma denominato KazMunayGaz_Viewer. Il collegamento LNK era progettato per scaricare ulteriori payload, tra cui uno script batch dannoso che attivava un loader PowerShell chiamato DOWNSHELL. Il processo culminava con l’installazione di un impianto DLL a 64 bit, capace di eseguire codice malevolo e stabilire una shell inversa.

Le analisi hanno rivelato che l’infrastruttura di Noisy Bear si appoggia a servizi di hosting bulletproof russi, in particolare Aeza Group, già sanzionato dagli Stati Uniti per attività malevole. Questa operazione si inserisce in un contesto più ampio di attacchi nel panorama post-sovietico: ad esempio, threat actor collegati alla Bielorussia come Ghostwriter hanno preso di mira Ucraina e Polonia con campagne simili, sfruttando archivi ZIP e RAR contenenti macro Excel che rilasciano DLL per il furto di informazioni e l’installazione di ulteriori malware tramite server C2. Alcune varianti di questi attacchi sfruttano Slack per l’esfiltrazione dei dati, mentre altre introducono moduli Cobalt Strike Beacon per azioni di post-exploitation.

Anche la Russia è vittima di campagne di phishing, come gli attacchi di OldGremlin contro industrie nazionali tramite tecniche BYOVD e l’impiego di malware come Phantom Stealer, basato su Stealerium, capace di rubare dati sensibili e di attivare funzioni di sextortion tramite screenshot webcam. Inoltre, sono emersi nuovi malware Android che si spacciano per strumenti di sicurezza ufficiali russi, ma che in realtà esfiltrano dati dei dispositivi e si proteggono dalla rimozione sfruttando i servizi di accessibilità.

Questi eventi sottolineano quanto la sicurezza nel settore energetico e nelle infrastrutture critiche sia oggi più che mai sotto attacco, con tecniche sempre più evolute e campagne di phishing personalizzate che puntano a compromettere aziende strategiche e governi.