Atores estatais russos ligados ao grupo APT28, também conhecido como BlueDelta, foram identificados em uma nova série de ataques de credential harvesting direcionados a indivíduos associados a uma agência turca de pesquisa em energia e temas nucleares.
Além disso, funcionários de um think tank europeu e organizações na Macedônia do Norte e no Uzbequistão também foram alvos.
Essas ações dão continuidade à campanha “sustentada” contra usuários do provedor ucraniano UKR[.]net, revelada no mês passado.
O APT28 é vinculado ao Main Directorate of the General Staff of the Armed Forces da Rússia, conhecido como GRU, o órgão militar de inteligência russo.
Segundo o grupo Insikt, da Recorded Future, o uso de iscas em turco e com foco regional indica que os invasores adaptam o conteúdo para aumentar a credibilidade junto a audiências específicas, tanto do ponto de vista profissional quanto geográfico.
Essas escolhas refletem o interesse contínuo em organizações ligadas à pesquisa em energia, cooperação em defesa e redes de comunicação governamentais — temas centrais nas prioridades de inteligência da Rússia.
As campanhas, detectadas entre fevereiro e setembro de 2025, utilizaram páginas falsas de login que simulam serviços populares, como Microsoft Outlook Web Access (OWA), Google e portais VPN da Sophos.
Um detalhe importante é que, após o usuário inserir suas credenciais nas páginas falsas, ele é redirecionado ao site legítimo correspondente, evitando levantar suspeitas.
Para hospedar as páginas de phishing, exfiltrar dados roubados e realizar os redirecionamentos, os atacantes usaram serviços conhecidos, como Webhook[.]site, InfinityFree, Byet Internet Services e ngrok.
Esse uso reiterado de infraestruturas legítimas evidencia a dependência do grupo em serviços temporários para suas operações.
Os invasores ainda deram um toque de autenticidade às iscas, utilizando documentos em PDF legítimos, como uma publicação do Gulf Research Center sobre a guerra Irã-Israel de junho de 2025 e um briefing do think tank climático ECCO, lançado em julho de 2025, que propunha um novo pacto para a região do Mediterrâneo.
A cadeia do ataque começa com um e-mail de phishing que inclui um link encurtado. Ao clicar, a vítima é redirecionada a um link hospedado no webhook[.]site, onde o documento falso é exibido por cerca de dois segundos.
Em seguida, ocorre um novo redirecionamento para outra página, também no webhook[.]site, que simula o login do Microsoft OWA.
Nessa página falsa, há um elemento HTML oculto que armazena a URL do webhook[.]site e, por meio de JavaScript, envia um sinal (beacon) indicando a abertura da página, transmite as credenciais digitadas para o endpoint do webhook e, por fim, redireciona o usuário de volta ao PDF original, hospedado no site legítimo.
Além dessas ações, o APT28 realizou outras três campanhas relevantes em 2025:
- Em junho, foi usada uma página falsa para reset de senha do Sophos VPN, hospedada pelo InfinityFree, que coletava credenciais e redirecionava as vítimas para o portal legítimo da VPN de um think tank europeu não identificado.
- Em setembro, foram implantadas páginas no InfinityFree que simulavam alertas de senhas expiradas, induzindo os usuários a fornecer credenciais. Após isso, os usuários eram encaminhados a páginas de login legítimas associadas a uma organização militar da Macedônia do Norte e a um integrador de TI do Uzbequistão.
- Em abril, foi usada uma página falsa para reset de senha do Google, hospedada no Byet Internet Services, que capturava credenciais e as exfiltrava para uma URL em ngrok.
Segundo a Recorded Future, essa prática sistemática de abuso de infraestruturas legítimas demonstra a forma como o grupo permanece focado em utilizar serviços descartáveis para hospedar e transmitir dados de credenciais comprometidas.
Essas campanhas reafirmam o compromisso do GRU com o credential harvesting como método de baixo custo e alto rendimento para coleta de informações valiosas que apoiam seus objetivos estratégicos de inteligência.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...