Se ha observado que el actor de amenazas del Estado-nación ruso conocido como APT28 utiliza señuelos relacionados con la guerra en curso entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace.

IBM X-Force está rastreando al adversario bajo el nombre ITG05, que también se conoce como BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy y TA422.

Los objetivos de la campaña incluyen a Hungría, Türkiye, Australia, Polonia, Bélgica, Ucrania, Alemania, Azerbaiyán, Arabia Saudita, Kazajstán, Italia, Letonia y Rumania.

La campaña implica el uso de señuelos diseñados principalmente para señalar a entidades europeas con una «influencia directa en la asignación de ayuda humanitaria», aprovechando documentos asociados con las Naciones Unidas, el Banco de Israel, el Servicio de Investigación del Congreso de Estados Unidos, el Banco Europeo Parlamento, un grupo de expertos ucraniano y una Comisión Intergubernamental Azerbaiyán-Bielorrusia.

Se ha descubierto que algunos de los ataques emplean archivos RAR que explotan la falla WinRAR llamada CVE-2023-38831 para propagar HeadLace, una puerta trasera que fue revelada por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en ataques dirigidos a infraestructuras críticas. en el país.

Vale la pena señalar que Zscaler reveló una campaña similar llamada Steal-It a fines de septiembre de 2023 que atraía a objetivos con contenido de temática para adultos para engañarlos y obligarlos a compartir información confidencial.

La divulgación se produce una semana después de que Microsoft, Palo Alto Networks Unit 42 y Proofpoint detallaran la explotación por parte del actor de amenazas de una falla de seguridad crítica de Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9.8) para obtener acceso no autorizado a las cuentas de las víctimas dentro de Servidores de intercambio.

Por lo tanto, la dependencia de documentos oficiales como señuelo marca una desviación de la actividad observada previamente, «lo que indica el mayor énfasis del ITG05 en una audiencia objetivo única cuyos intereses impulsarían la interacción con material que impacta la creación de políticas emergentes».

El desarrollo se produce cuando CERT-UA vinculó al actor de amenazas conocido como UAC-0050 con un ataque masivo de phishing basado en correo electrónico contra Ucrania y Polonia utilizando Remcos RAT y Meduza Stealer.