O grupo de ameaça patrocinado pelo Estado russo, conhecido como APT28, foi identificado conduzindo uma campanha contínua de captura de credenciais, cujo alvo são os usuários do UKR[.]net, um serviço popular de webmail e notícias na Ucrânia.
A atividade, monitorada pelo Insikt Group, da Recorded Future, entre junho de 2024 e abril de 2025, expande descobertas anteriores publicadas em maio de 2024, que detalhavam ataques do grupo contra redes europeias, utilizando o malware HeadLace e páginas falsas para captura de credenciais.
O APT28 também é conhecido por outros codinomes, como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422.
Sua vinculação é atribuída à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU).
Os ataques recentes se caracterizam pela criação de páginas falsas de login, tematizadas com o UKR[.]net e hospedadas em serviços legítimos, como Mocky, que levam as vítimas a inserir suas credenciais e códigos de autenticação de dois fatores (2FA).
Os links para essas páginas são incorporados em documentos PDF distribuídos por meio de campanhas de phishing e encurtados por serviços como tiny[.]cc ou tinyurl[.]com.
Em alguns casos, o grupo cria subdomínios em plataformas como Blogger (*.blogspot[.]com) para estabelecer uma cadeia de redirecionamentos em duas etapas, que termina na página falsa destinada ao roubo de credenciais.
Essa operação faz parte de um conjunto mais amplo de ataques de phishing e captura de credenciais realizados pelo grupo desde meados dos anos 2000, com foco em instituições governamentais, contratantes de defesa, fornecedores de armamentos, empresas de logística e think tanks, sempre com a finalidade estratégica de beneficiar a Rússia.
“Embora esta campanha não identifique alvos específicos, o histórico do BlueDelta, focado em roubo de credenciais para facilitar a coleta de inteligência, indica fortemente a intenção de obter informações sensíveis de usuários ucranianos, atendendo às demandas do GRU”, afirmou a Recorded Future, empresa controlada pela Mastercard, em relatório compartilhado com o The Hacker News.
Uma mudança significativa nesta fase é a substituição do uso de roteadores comprometidos por serviços de proxy tunneling, como ngrok e Serveo, para capturar e retransmitir as credenciais e códigos 2FA roubados.
O uso contínuo de hospedagem gratuita e infraestrutura de tunelamento anônima pelo BlueDelta reflete uma adaptação diante das desativações dessas infraestruturas, conduzidas por países ocidentais no início de 2024, explicou a Recorded Future.
“A campanha evidencia o interesse persistente do GRU em comprometer credenciais de usuários ucranianos para apoiar operações de inteligência no contexto da guerra em andamento na Ucrânia.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...