Organizações na Ucrânia têm sido alvo de grupos cibercriminosos de origem russa, que buscam roubar dados sensíveis e manter acesso persistente às redes comprometidas.
De acordo com um relatório recente das equipes da Symantec e Carbon Black Threat Hunter, uma grande empresa de serviços corporativos foi atacada durante dois meses, enquanto uma entidade governamental local sofreu invasões por uma semana.
Os atacantes exploraram principalmente táticas living-off-the-land (LotL) e ferramentas dual-use, empregando um uso mínimo de malware.
Essa estratégia reduz a pegada digital e permite que as ameaças permaneçam furtivas por períodos prolongados.
Segundo o relatório das equipes de cibersegurança da Broadcom, compartilhado com o The Hacker News, o acesso à empresa foi obtido por meio da implantação de web shells em servidores públicos, provavelmente explorando vulnerabilidades não corrigidas (unpatched).
Um dos web shells identificados foi o Localolive, apontado pela Microsoft como ferramenta utilizada por um subgrupo do grupo Sandworm, ligado à Rússia, na campanha BadPilot.
Desde pelo menos o final de 2021, o Localolive vem sendo empregado para entregar cargas maliciosas subsequentes, como Chisel, plink e rsockstun.
O ataque à empresa de serviços teve seus primeiros indícios em 27 de junho de 2025, quando os invasores usaram um web shell para realizar reconhecimento da rede.
Também executaram comandos PowerShell para excluir a pasta Downloads das varreduras do Microsoft Defender Antivirus e configuraram uma tarefa agendada para despejo de memória a cada 30 minutos.
Nas semanas seguintes, os hackers realizaram diversas ações, incluindo:
- Salvar cópia do registro do Windows em um arquivo chamado 1.log;
- Implantar novos web shells;
- Listar arquivos do diretório do usuário via web shell;
- Consultar processos iniciados com "kee", provavelmente visando o gerenciador de senhas KeePass;
- Checar sessões de usuários ativos em outro computador;
- Executar arquivos "service.exe" e "cloud.exe" na pasta Downloads;
- Realizar reconhecimento e despejos de memória em outras máquinas usando o Microsoft Windows Resource Leak Diagnostic (RDRLeakDiag);
- Modificar o registro para permitir conexões via RDP;
- Consultar configurações do Windows por meio do PowerShell;
- Usar RDPclip para acessar a área de transferência em sessões remotas;
- Instalar OpenSSH para facilitar acesso remoto;
- Configurar o firewall para permitir tráfego TCP na porta 22 para o OpenSSH;
- Criar tarefa agendada para rodar uma backdoor em PowerShell (link.ps1) a cada 30 minutos, utilizando conta de domínio;
- Executar um script Python desconhecido;
- Implantar o aplicativo legítimo MikroTik Router Manager ("winbox64.exe") na pasta Downloads.
Curiosamente, a presença do "winbox64.exe" também foi registrada pelo CERT-UA em abril de 2024, relacionada a uma campanha do Sandworm contra fornecedores de energia, água e aquecimento na Ucrânia.
Embora Symantec e Carbon Black não tenham encontrado evidências que liguem este ataque diretamente ao Sandworm, as ferramentas utilizadas indicam origem russa.
O incidente foi marcado pelo uso de várias backdoors em PowerShell e executáveis suspeitos, possivelmente malware, apesar de nenhum desses artefatos ter sido obtido para análise forense.
“As ações maliciosas envolveram principalmente ferramentas legítimas, sejam living-off-the-land ou softwares dual-use introduzidos pelos invasores”, explicaram as equipes da Symantec e Carbon Black.
Elas ressaltam ainda o conhecimento aprofundado dos atacantes sobre ferramentas nativas do Windows e como eles conseguiram avançar furtivamente para roubar informações sensíveis, como credenciais, deixando rastros mínimos na rede comprometida.
Esse vazamento ocorre simultaneamente ao relatório do Gen Threat Labs, que detalha o uso da vulnerabilidade corrigida
CVE-2025-8088
no WinRAR (pontuação CVSS 8,8) por um grupo chamado Gamaredon para atacar órgãos governamentais ucranianos.
“A exploração dessa CVE permite que invasores entreguem arquivos RAR que silenciosamente soltam malware HTA na pasta Startup, sem necessidade de interação além da abertura de um PDF aparentemente benigno”, alertou a empresa em publicação na rede X.
A tática reforça o padrão agressivo de campanhas anteriores.
Um relatório da Recorded Future também evidencia que o ecossistema cibercriminoso russo tem sido moldado pela ação de forças internacionais, como a Operation Endgame, que alterou a relação do governo russo com esses grupos, passando de tolerância passiva para controle mais ativo.
Análises de conversas vazadas revelam que membros seniores dessas organizações mantêm relações com serviços de inteligência russos, compartilhando dados, recebendo ordens e utilizando subornos e conexões políticas para agir com impunidade.
Ao mesmo tempo, esses grupos descentralizam suas operações para evitar monitoramento ocidental e nacional.
Historicamente, sabe-se que cibercriminosos russos atuam livremente, desde que não ataquem alvos locais.
No entanto, o Kremlin parece adotar uma postura mais estratégica, recrutando ou cooptando talentos conforme necessário, fechando os olhos para ataques alinhados aos seus interesses e aplicando a lei seletivamente quando as ameaças se tornam politicamente inconvenientes.
Essa “aliança sombria” funciona como uma operação comercial, uma ferramenta de influência e aquisição de informação, mas também representa um risco à estabilidade interna e à pressão externa.
“O submundo cibercriminoso russo está se fragmentando sob pressão do controle estatal e da desconfiança interna, enquanto o monitoramento de fóruns e conversas de afiliados a ransomware revela crescente paranoia entre os operadores”, conclui o terceiro relatório da Dark Covenant.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...