O ator de ameaças alinhado à Rússia, conhecido como TAG-110, foi observado conduzindo uma campanha de spear-phishing mirando o Tajiquistão, usando modelos de Word habilitados para macro como payload inicial.
A cadeia de ataque marca uma partida do uso anteriormente documentado pelo ator de ameaças de um carregador de Aplicativo HTML (.HTA) apelidado de HATVIBE, disse o grupo Insikt da Recorded Future em uma análise.
"Dado o histórico do TAG-110 de mirar em entidades do setor público na Ásia Central, essa campanha provavelmente está mirando instituições governamentais, educacionais e de pesquisa dentro do Tajiquistão," a empresa de cibersegurança observou.
Essas operações de espionagem cibernética provavelmente visam coletar inteligência para influenciar a política regional ou a segurança, particularmente durante eventos sensíveis como eleições ou tensões geopolíticas.
TAG-110, também chamado de UAC-0063, é o nome atribuído a um grupo de atividade de ameaças que é conhecido por seu direcionamento a embaixadas europeias, bem como outras organizações na Ásia Central, Leste Asiático e Europa.
Acredita-se que esteja ativo pelo menos desde 2021.
Avaliado por compartilhar sobreposições com a equipe russa de hackers de estado-nação APT28, as atividades associadas ao ator de ameaças foram documentadas pela primeira vez pela empresa romena de cibersegurança Bitdefender em maio de 2023, em conexão com uma campanha que entregou um malware codinome DownEx (também conhecido como STILLARCH) mirando entidades governamentais no Cazaquistão e no Afeganistão.
No entanto, foi a Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) que formalmente atribuiu o apelido UAC-0063 naquele mesmo mês, depois de descobrir ataques cibernéticos mirando corpos estatais no país usando cepas de malware como LOGPIE, CHERRYSPY (também conhecido como DownExPyer), DownEx, e PyPlunderPlug.
A campanha mais recente mirada em organizações do Tajiquistão, observada a partir de janeiro de 2025, demonstra uma mudança de HATVIBE, distribuído via anexos de spear-phishing embutidos em HTA, a favor de arquivos de modelo do Word (.DOTM) habilitados para macro, sublinhando uma evolução de suas táticas.
"Anteriormente, TAG-110 utilizava documentos do Word habilitados para macro para entregar HATVIBE, um malware baseado em HTA, para acesso inicial," disse a Recorded Future.
Os documentos recém-detectados não contêm o payload HTA HATVIBE embutida para criar uma tarefa agendada e, em vez disso, aproveitam um arquivo de modelo global colocado na pasta de inicialização do Word para persistência.
Os e-mails de phishing foram encontrados usando documentos temáticos do governo do Tajiquistão como material de isca, o que se alinha com seu uso histórico de documentos governamentais legítimos trojanizados como um vetor de entrega de malware.
No entanto, a empresa de cibersegurança disse que não pôde verificar independentemente a autenticidade desses documentos.
Presente com os arquivos está uma macro VBA responsável por colocar o modelo de documento na pasta de inicialização do Microsoft Word para execução automática e, subsequentemente, iniciar comunicações com um servidor de comando e controle (C2) e potencialmente executar código VBA adicional fornecido com respostas do C2.
A natureza exata dos payloads de segunda fase não é conhecida.
"No entanto, com base na atividade histórica e no conjunto de ferramentas do TAG-110, é provável que o acesso inicial bem-sucedido via os modelos habilitados para macro resulte na implantação de malware adicional, como HATVIBE, CHERRYSPY, LOGPIE, ou potencialmente uma novo payload desenvolvido sob medida para operações de espionagem," disse a empresa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...