Vovan e Lexus sono nomi saliti alla ribalta negli ultimi giorni, quando i due, definiti come comici russi, hanno contattato telefonicamente la nostra premier Giorgia Meloni, ingaggiando con lei una conversazione su più temi, compreso quello spinoso della guerra in Ucraina, e poi divulgandone pubblicamente i contenuti.
Proofpoint segue da tempo le azioni di questo gruppo, noto anche con il nome TA499, inizialmente attivo con campagne di email malevole. Partite a inizio del 2021, le campagne hanno iniziato ad aumentare a fine gennaio 2022, culminando in tentativi sempre più aggressivi dopo l’invasione dell’Ucraina da parte della Russia a fine febbraio 2022. Da quel momento, l’attore della minaccia si è impegnato in un’attività costante e ha ampliato il suo target includendo importanti uomini d’affari e persone di alto profilo che hanno fatto grandi donazioni agli sforzi umanitari ucraini o che hanno rilasciato dichiarazioni pubbliche sulla disinformazione e la propaganda russa. Questi messaggi cercano di sollecitare informazioni dalle persone prese di mira e di invogliarle a entrare in contatto con loro tramite telefonate o video a distanza. Le email non contengono malware, ma solo comunicazioni o inviti che sembrano provenire da un’ambasciata ucraina, dal primo ministro ucraino, da un parlamentare ucraino o dai loro assistenti, come nel caso di Vovan e Lexus.
Proofpoint ritiene che TA499 sia una coppia di disinformatori, che basa le sue azioni sull’impersonificazione a sfondo patriottico, composta da attori allineati con lo stato russo. Il gruppo di Vovan e Lexus ha preso di mira persone di alto profilo che si sono espresse contro il regime russo, a favore delle sanzioni contro la Russia e contro la detenzione del noto leader dell’opposizione russa Alexei Navalny. Sebbene non si conosca il livello di supporto ufficiale che TA499 riceve dal governo, le registrazioni vengono generalmente utilizzate per raccogliere sostegno e simpatia per l’attuale regime russo e le sue azioni.
Le conversazioni con TA499, come quella avuta da Giorgia Meloni con Vovan e Lexus, iniziano in genere in modo positivo e puntano a far rilasciare all’obiettivo quante più informazioni possibili. Una volta che questo ultimo inizia a fare domande, l’attore rispecchia le risposte per mantenere viva la conversazione. In alcuni video del 2021, l’imitatore di Leonid Volkov chiede sostegno finanziario e sembra incoraggiare l’obiettivo a esprimere particolari obblighi e sforzi in sintonia con l’opposizione russa guidata da Navalny. Una volta che la vittima effettua una dichiarazione in merito, il video cambia tono, con il tentativo di cogliere la persona in commenti o atti imbarazzanti. Le registrazioni vengono poi modificate per enfatizzarle e messe su YouTube e Twitter per il pubblico russo e anglofono.
TA499 è un gruppo molto noto che si sta guadagnando un seguito di fan. Hanno personaggi, come Vovan e Lexus, che non solo pubblicano online il materiale discusso in questo report, ma si esibiscono anche in ricostruzioni sui media sponsorizzati dallo stato russo e partecipano a conferenze. Poiché è improbabile che la guerra tra Russia e Ucraina finisca a breve termine e che l’Ucraina continui a raccogliere il sostegno di organizzazioni di tutto il mondo, Proofpoint ritiene che TA499 cercherà di continuare con le sue campagne a sostegno dei suoi contenuti di influencer e della sua agenda politica. È probabile anche che riutilizzi vecchie infrastrutture o ne crei di nuove a sostegno di questa attività.
Essere un target di questo gruppo sta diventando gradualmente più comune. Sebbene l’obiettivo principale di TA499 rimangano personalità pubbliche e livelli manageriali top in azienda, Proofpoint raccomanda a chiunque sospetti di essere un suo target di verificare con attenzione l’identità di chi lo invita a condurre affari o a discutere di argomenti politici in videoconferenza. In particolare, se individui di alto profilo si facessero vivi all’improvviso via email, senza essere stati precedentemente presentati da una fonte nota e verificata, è bene procedere con cautela.