O uso de inteligência artificial (AI) por hackers russos em ataques cibernéticos contra a Ucrânia atingiu um novo patamar no primeiro semestre de 2025, informou o Serviço Estatal de Comunicações Especiais e Proteção da Informação da Ucrânia (SSSCIP).
De acordo com o órgão, os cibercriminosos utilizam a AI não apenas para criar mensagens de phishing, mas também para gerar amostras de malware.
"Alguns dos malwares analisados apresentam sinais claros de terem sido produzidos com apoio de inteligência artificial — e os atacantes certamente não vão parar por aí", destaca o relatório divulgado nesta quarta-feira.
No período, foram registrados 3.018 incidentes cibernéticos, número superior aos 2.575 casos registrados na segunda metade de 2024.
Houve aumento nos ataques direcionados a autoridades locais e entidades militares, enquanto as ofensivas contra os setores governamental e energético diminuíram.
Um dos ataques mais relevantes envolveu o grupo UAC-0219, que utilizou o malware WRECKSTEEL em ofensivas contra órgãos da administração pública e infraestruturas críticas.
Há indícios de que esse malware, que rouba dados via PowerShell, foi desenvolvido com ferramentas de AI.
Outras campanhas registradas contra a Ucrânia incluem:
- Campanhas de phishing do UAC-0218 focadas nas forças de defesa, distribuindo o malware HOMESTEEL por meio de arquivos RAR armadilhados;
- Ataques do UAC-0226 contra organizações ligadas ao desenvolvimento de inovações no setor industrial de defesa, governos locais, unidades militares e agências de segurança, utilizando o stealer GIFTEDCROOK;
- Phishing do UAC-0227, que visou autoridades locais, infraestruturas críticas e centros territoriais de recrutamento e apoio social (TRCs e SSCs), com táticas do tipo ClickFix ou anexos SVG para disseminar os stealers Amatera Stealer e Strela Stealer;
- Campanhas do subgrupo UAC-0125, associado ao Sandworm, que enviou e-mails com links para sites falsos da ESET, com o objetivo de distribuir um backdoor em C# chamado Kalambur (também conhecido como SUMBUR), disfarçado como programa de remoção de ameaças.
O SSSCIP também identificou o grupo APT28 (também denominado UAC-0001), ligado à Rússia, explorando falhas de cross-site scripting (XSS) em softwares de webmail como Roundcube (
CVE-2023-43770
,
CVE-2024-37383
e
CVE-2025-49113
) e Zimbra (
CVE-2024-27443
e
CVE-2025-27915
), para realizar ataques do tipo zero-click.
"Nesse tipo de exploração, os invasores injetam código malicioso que, por meio da API do Roundcube ou do Zimbra, obtém acesso a credenciais, listas de contatos e filtros configurados para encaminhar todos os e-mails para caixas controladas pelos atacantes", explicou o SSSCIP.
Outra técnica usada para roubo de credenciais envolvia a criação de blocos HTML ocultos (visibility: hidden) com campos de login e senha configurados com o atributo autocomplete='on'.
Isso permitia o preenchimento automático dos dados armazenados no navegador, que eram então exfiltrados.
O relatório reforça que a Rússia mantém a condução de uma guerra híbrida, sincronizando operações cibernéticas com ataques físicos no campo de batalha.
O grupo Sandworm (UAC-0002), por exemplo, segue ativo contra instituições dos setores de energia, defesa, provedores de internet e pesquisa.
Além disso, vários grupos de ameaça passaram a abusar de serviços legítimos, como Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra[.]ph, Teletype.in, Firebase, ipfs[.]io e mocky[.]io para hospedar malwares, páginas de phishing ou canais de exfiltração de dados.
“O uso de recursos online legítimos para fins maliciosos não é novidade, mas a quantidade de plataformas exploradas por hackers russos tem aumentado continuamente nos últimos tempos”, alertou o SSSCIP.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...