Conteúdo
Um novo cluster de ameaças cibernéticas emergiu, personificando a empresa eslovaca de cibersegurança ESET em tentativas de phishing dirigidas a organizações ucranianas. Detectada em maio de 2025, esta campanha é monitorizada pela ESET sob o codinome InedibleOchotense e acredita-se estar alinhada com interesses russos. Os atacantes enviaram emails de spear-phishing e mensagens Signal contendo links para instaladores ESET adulterados a vários alvos na Ucrânia. Estas comunicações, embora escritas maioritariamente em ucraniano, incluíam estranhamente uma palavra russa na primeira linha, sugerindo um deslize de tradução ou alguma negligência na elaboração da mensagem.\n\nOs emails de phishing afirmam falsamente que a equipa de monitorização da ESET detetou um processo suspeito ligado ao email do destinatário, alertando que o seu sistema pode estar comprometido. Esta tática aproveita a forte reputação da ESET e o seu uso generalizado na Ucrânia para enganar as vítimas a descarregar software malicioso de domínios que imitam serviços legítimos da ESET, como esetsmart[.]com e esetremover[.]com. O instalador comprometido inclui não só a ferramenta autêntica ESET AV Remover, mas também instala um backdoor denominado Kalambur (também conhecido como SUMBUR). Este backdoor comunica via rede Tor para anonimato e pode instalar OpenSSH e ativar acesso remoto de ambiente de trabalho na porta 3389, permitindo controlo remoto das máquinas infetadas.\n\nInvestigações adicionais ligam esta atividade a campanhas previamente documentadas, como as envolvendo o backdoor BACKORDER e clusters monitorizados pelo CERT-UA sob UAC-0212 e UAC-0125, que são subgrupos do notório coletivo hacker Sandworm (APT44). O Sandworm continua a realizar ataques cibernéticos destrutivos na Ucrânia, como o lançamento dos malwares wiper ZEROLOT e Sting contra uma universidade não identificada em abril de 2025. Estes ataques estenderam-se a vários setores incluindo governo, energia, logística e indústria de cereais. A ESET também nota que o UAC-0099 facilitou o acesso inicial para o Sandworm, sublinhando a natureza em camadas e colaborativa destes atores de ameaça.\n\nPara além das atividades do Sandworm, outro grupo ligado à Rússia chamado RomCom (também conhecido por vários pseudónimos) realizou campanhas de spear-phishing em meados de julho de 2025. O RomCom explorou uma vulnerabilidade zero-day no WinRAR (CVE-2025-8088) com uma classificação de severidade alta, visando empresas financeiras, de fabrico, defesa e logística na Europa e Canadá. Explorações bem-sucedidas instalaram múltiplos backdoors e ferramentas de acesso remoto ligadas ao RomCom, como SnipBot, RustyClaw e um agente Mythic. Analistas apontam que o RomCom inicialmente funcionava como malware de commodity para cibercrime, mas evoluiu para uma ferramenta para operações apoiadas pelo estado russo, focando-se no roubo de dados e recolha de credenciais relacionadas com eventos geopolíticos em torno do conflito na Ucrânia.\n\nA crescente sofisticação e persistência destas campanhas destacam uma dimensão contínua de guerra cibernética no conflito na Ucrânia. Os atacantes estão a aproveitar a personificação de marcas, vulnerabilidades zero-day e implantações de malware em múltiplas fases para infiltrar sistemas críticos. As estratégias defensivas continuam desafiantes devido ao uso de ferramentas legítimas juntamente com componentes maliciosos, e à exploração de marcas de software confiáveis como a ESET. Este panorama de ameaças em evolução exige vigilância reforçada, capacidades de deteção melhoradas e respostas coordenadas na comunidade de cibersegurança e setores afetados para mitigar riscos contínuos.
