Actores de amenazas rusos están apuntando a los dispositivos de los reclutas militares ucranianos en una campaña de malware distribuida a través de Telegram, según ha descubierto un nuevo análisis de Google.
El grupo, identificado como UNC5812, es una presunta operación híbrida rusa de espionaje e influencia. En la nueva campaña, descubierta en septiembre de 2024, los atacantes intentan entregar malware de Windows y Android a los reclutas militares ucranianos utilizando un personaje de Telegram llamado «Defensa Civil».
El propósito es obtener acceso a los dispositivos de los reclutas para robar información confidencial.
El Grupo de Análisis de Amenazas (TAG) de Google dijo que la campaña es parte de una tendencia creciente de Rusia de apuntar a posibles reclutas militares ucranianos, luego del lanzamiento de la identificación militar digital de Ucrania utilizada para administrar los detalles de los responsables del servicio militar e impulsar el reclutamiento.
Las operaciones de distribución de malware de UNC5812 se llevan a cabo tanto a través de un canal de Telegram controlado por el actor @civildefense_com_ua como del sitio web alojado en civildefense[.]com.ua. El sitio web se registró en abril de 2024, pero el canal de Telegram no se creó hasta principios de septiembre de 2024, que es cuando Google consideró que la nueva campaña estaba en pleno funcionamiento.
Parece que UNC5812 está comprando publicaciones promocionadas en canales legítimos y establecidos de Telegram en idioma ucraniano para impulsar la interacción con el canal y el sitio web de Telegram de Civil Defense.
La campaña se observó por primera vez el 18 de septiembre de 2024, cuando un canal legítimo de Telegram con más de 80.000 suscriptores dedicados a alertas de misiles promocionó el canal de Telegram de Civil Defense.
El 8 de octubre se observó un canal de noticias en ucraniano que promocionaba las publicaciones de Defensa Civil, lo que sugiere que la campaña sigue buscando activamente nuevas comunidades en ucraniano para participar de forma específica.
La campaña tiene como objetivo atraer a las víctimas para que ingresen al sitio web de Defensa Civil, que anuncia varios programas de software diferentes para diferentes sistemas operativos.
Cuando se instalan estos programas, se descargan varios dispositivos de malware comercial en los dispositivos de las víctimas.
El sitio web de Defensa Civil también intenta anticiparse a las sospechas de los usuarios sobre que la aplicación está fuera de la tienda de aplicaciones y los incita a desactivar las protecciones contra actividades dañinas.
Esto incluye una justificación de privacidad y seguridad para que la aplicación de Android esté fuera de la tienda de aplicaciones y una guía sobre cómo desactivar Google Play Protect.
En paralelo a la campaña de malware, Google dijo que UNC5812 está llevando a cabo una actividad de influencia para socavar los esfuerzos más amplios de movilización y reclutamiento militar de Ucrania.
El canal de Telegram del grupo solicita activamente a los visitantes y suscriptores que carguen videos de «acciones injustas de los centros de reclutamiento territoriales», contenido probablemente destinado a reforzar las narrativas antimovilización de UNC5812 y desacreditar al ejército ucraniano.
El sitio web de Defensa Civil también está intercalado con imágenes y contenido antimovilización en idioma ucraniano, incluida una sección de noticias dedicada a destacar supuestos casos de prácticas de movilización injustas.
Google espera que Telegram siga siendo un vector principal para la actividad cibernética para una variedad de actividades de espionaje e influencia vinculadas a Rusia, dado su papel como fuente crítica de información para la guerra entre Rusia y Ucrania.