Empresas italianas estão sendo alvo de ataques cibernéticos por um ator de ameaças financeiramente motivado conhecido como UNC4990, que utiliza dispositivos USB armados como vetor de infecção inicial.

A Mandiant, empresa do Google, relatou que os ataques visam diversas indústrias, incluindo saúde, transporte, construção e logística. As operações do UNC4990 geralmente envolvem a infecção generalizada por USB seguida pelo deployment do downloader EMPTYSPACE.

Durante essas operações, o grupo depende de sites de terceiros como GitHub, Vimeo e Ars Technica para hospedar estágios adicionais codificados, que são baixados e decodificados via PowerShell no início da cadeia de execução.

Ativo desde o final de 2020, o UNC4990 é avaliado como operando a partir da Itália, com base no uso extensivo de infraestrutura italiana para fins de comando e controle (C2). Atualmente, não se sabe se o UNC4990 funciona apenas como um facilitador de acesso inicial para outros atores. O objetivo final do ator de ameaças também não está claro, embora em um caso tenha sido relatado o deployment de um minerador de criptomoedas de código aberto após meses de atividade de beaconing.