Una campagna di spionaggio in corso gestita dal gruppo hacker Gamaredon legato alla Russia sta prendendo di mira i dipendenti del governo ucraino, della difesa e delle forze dell’ordine con un pezzo di informazioni personalizzate che rubano malware.

“L’avversario sta usando documenti di phishing contenenti esche relative all’invasione russa dell’Ucraina”, hanno affermato i ricercatori di Cisco Talos Asheer Malhotra e Guilherme Venere in un articolo tecnico condiviso con The Hacker News. “I file LNK, PowerShell e VBScript consentono l’accesso iniziale, mentre i binari dannosi vengono distribuiti nella fase post-infezione”.

L’operazione di phishing mirata, osservata di recente nell’agosto 2022, segue anche intrusioni simili scoperte da Symantec il mese scorso che coinvolgono l’uso di malware come Giddome e Pterodo. L’obiettivo principale di questi attacchi è stabilire un accesso a lungo termine per lo spionaggio e il furto di dati.

Si tratta di sfruttare i documenti di Microsoft Word contenenti esche relative all’invasione russa dell’Ucraina distribuite tramite messaggi di posta elettronica per infettare gli obiettivi. Una volta aperte, le macro nascoste all’interno di modelli remoti vengono eseguite per recuperare RAR contenenti file LNK.