Lo Spear Phishing è una variante dei messaggi di phishing: un cyber-criminale invia un messaggio mirato ad un target, camuffandolo come se fosse proveniente da una fonte attendibile. La finalità di questi messaggi è, come qualsiasi altra frode informatica, quella di accedere al sistema dell'utente o estorcere informazioni sensibili. Lo Spear Phishing è considerato uno dei più efficaci sistemi di cyber-attacco perchè ricerca un livello superiore di personalizzazione del messaggio che lo rende altamente credibile. C'è una piccola differenza tra il Phishing e lo Spear Phishing: una mail di phishing generalmente appare come provenuiente da grandi organizzazion come banche, provider, siti di social network, compagnie di assicurazione ecc..

L'agenzia di stampa Reuters ha diffuso la notizia di un attacco di spearphishing molto particolare, probabilmente collegato al noto gruppo di cybercriminali Lazarus Group: è un attacco mirato e che è stato efficace, perchè ha permesso effettivamente l'accesso alle reti di una serie di appaltatori militari in Europa. La questione è che non è stato affatto un attacco molto elaborato, anzi, rappresenta uno dei classici attacchi di spearphising che possono prendere di mira le aziende e che spesso riescono solo perchè i dipendenti non sono adeguatamente sensibilizzati e formati in tal senso. 

Gli attacchi contro partner militari UE sono iniziati nel Dicembre 2019 e avevano uno schema comune: tutto iniziava con un messaggio via LinkedIn proveniente, apparentemente, da professionisti operanti in note società e contenente un'offerta di lavoro. Gli attaccanti, in dettaglio, si spacciavano per responsabili del personale di giganti della difesa USA quali Collins Aerospace e General Dynamics. 

Ovviamente i profili dai quali erano inviati i messaggi sono risultati falsi (in alcuni casi compromessi) e il messaggio conteneva un file dannoso. Più raramente questi messaggi erano inviati via email agli account aziendali di alcuni dipendenti "target", ma la maggior parte della truffa si è "giocata" su LinkedIn. Le email inviate provenivano da account di posta appositamente creati per corrispondere ai profili falsi su LinkedIn e contenevano un collegamento OneDrive tramite il quale era scaricabile l'allegato dannoso. 

Il file allegato, sia su LinkedIn che scaricabile da OneDrive via email, aveva tutta l'apparenza di un innocuo PDF con alcune informazioni riguardanti il trattamento economico relativo alla falsa offerta di lavoro. Nel tempo che la vittima scorreva questi dati, sicuramente distratto dal loro contenuto, il malware si era già distribuito nel sistema: gli attaccanti ottenevano così il "punto di approdo" nella rete e la persistenza sul sistema. 

Così sono stati compromessi una decina di partner militari UE e i ricercatori hanno trovato evidenti segni di spionaggio militare: l'analisi del malware non ha portato grandi risultati, ma sono state trovate anche funzioni atte alla compromissione di conti correnti per rubare denaro alle società attaccate. Ai conti si è legata  un tentativo di seconda truffa: gli attaccanti hanno rintracciato in uno dei sistemi infetti una comunicazione precedentie tra la vittima e un cliente. Hanno contattato quindi la vittima invitando al pagamento di una fantomatica fattura, ovviamente su conto diverso da quello aziendale. Insospettito, il cliente ha contattato l'azienda e ha permesso così di scoprire la violazione. Le altre vittime sono state individuate a seguito di indagine.