O grupo hacker alinhado à Rússia, conhecido como UAC-0184, tem direcionado ataques a entidades militares e governamentais da Ucrânia por meio da plataforma de mensagens Viber, utilizada para distribuir arquivos ZIP maliciosos.
Segundo relatório técnico do 360 Threat Intelligence Center, “essa organização mantém intensa atividade de coleta de inteligência focada em departamentos militares e governamentais ucranianos em 2025.” Também identificado como Hive0156, o grupo é renomado por usar iscas com temática de guerra em campanhas de phishing, com o objetivo de entregar o malware Hijack Loader. Esse malware, por sua vez, é o vetor inicial para a infecção pelo Remcos RAT.
O ator de ameaça foi documentado pela primeira vez pelo CERT-UA em janeiro de 2024. Em campanhas recentes, o grupo ampliou o uso de aplicativos de mensagens como Signal e Telegram para distribuir malware.
As descobertas mais recentes de fornecedores chineses de segurança indicam uma evolução nessa estratégia. A cadeia de ataque tem início no Viber, usado para entregar arquivos ZIP contendo múltiplos atalhos do Windows (LNK) disfarçados de documentos legítimos do Microsoft Word e Excel. Esses arquivos LNK funcionam como isca para enganar a vítima, executando silenciosamente o Hijack Loader em segundo plano.
A execução ocorre por meio de um script PowerShell que baixa um segundo arquivo ZIP, chamado “smoothieks.zip”, de um servidor remoto. O malware reconstrói e carrega o Hijack Loader na memória em um processo multiestágio que utiliza técnicas avançadas, como DLL side-loading e module stomping, para evitar a detecção por ferramentas de segurança.
Em seguida, o loader escaneia o ambiente em busca de antivírus populares, incluindo Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot e Microsoft, calculando o hash CRC32 dos arquivos correspondentes. Além de criar persistência por meio de tarefas agendadas, o loader toma medidas para evitar a detecção por assinaturas estáticas.
Depois, executa de forma oculta o Remcos RAT, injetando-o no processo “chime.exe”.
Essa ferramenta de administração remota permite aos atacantes controlar o endpoint, executar payloads, monitorar atividades e roubar dados.
“Embora comercializado como um software legítimo de gerenciamento de sistemas, o Remcos possui funcionalidades intrusivas poderosas, que o tornam uma ferramenta frequente em ataques de ciberespionagem e roubo de dados”, explica o 360 Threat Intelligence Center.
“Por meio da interface gráfica (GUI) fornecida pelo Remcos, os atacantes podem realizar operações automatizadas em lote, além de controles manuais precisos no sistema infectado.”os.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...