Um grupo de ameaças anteriormente desconhecido foi identificado se passando pela empresa eslovaca de cibersegurança ESET em ataques de phishing direcionados a instituições ucranianas.
Essa campanha, detectada em maio de 2025, é monitorada pela própria ESET e recebeu o codinome InedibleOchotense, sendo considerada alinhada à Rússia.
Segundo o relatório de atividade APT da ESET para o segundo e terceiro trimestres de 2025, o grupo enviou e-mails de spear-phishing e mensagens pelo Signal contendo links para um instalador do ESET trojanizado a múltiplos alvos na Ucrânia.
Além disso, a campanha apresenta similaridades táticas com outras ofensivas documentadas pela EclecticIQ e pelo CERT-UA, relacionadas ao grupo de hackers Sandworm (também conhecido como APT44), especialmente em subgrupos como UAC-0212.
O e-mail, embora redigido em ucraniano, tem a primeira linha em russo, o que indica possível erro de tradução ou digitação.
Na mensagem, que finge ser oficial da ESET, a equipe de monitoramento alega ter detectado um processo suspeito associado ao endereço de e-mail do destinatário, indicando um risco aos seus dispositivos.
Trata-se de uma artimanha para explorar a popularidade e confiança na marca ESET no país, induzindo as vítimas a instalarem um software malicioso hospedado em domínios como esetsmart[.]com, esetscanner[.]com e esetremover[.]com.
O instalador malicioso entrega tanto o legítimo ESET AV Remover quanto uma variante do backdoor em C# chamada Kalambur (também conhecida como SUMBUR).
Esse backdoor utiliza a rede Tor para comunicação com seu servidor de comando e controle (C2) e pode instalar o OpenSSH, além de habilitar acesso remoto via Remote Desktop Protocol (RDP) na porta 3389.
Um relatório recente do CERT-UA associou uma campanha quase idêntica ao subgrupo UAC-0125, também vinculado ao Sandworm.
Além disso, a ESET destaca que o grupo Sandworm continuou conduzindo ataques destrutivos na Ucrânia.
Em abril de 2025, foram lançados malwares wiper denominados ZEROLOT e Sting contra uma universidade não identificada.
Posteriormente, outras variantes de malware para apagamento de dados foram direcionadas aos setores governamental, de energia, logística e agronegócio.
“Nessa janela, observamos que o grupo UAC-0099 realizou operações de acesso inicial e transferiu alvos validados para o Sandworm dar continuidade às ações”, informam os pesquisadores da ESET.
“Esses ataques destrutivos reforçam que os wipers permanecem como uma ferramenta frequente entre atores russos na Ucrânia.”
Outro ator alinhado à Rússia ativo no período é o RomCom (também conhecido como Storm-0978, Tropical Scorpius, UNC2596 ou Void Rabisu).
Em meados de julho de 2025, esse grupo promoveu campanhas de spear-phishing que exploraram uma vulnerabilidade zero-day no WinRAR (
CVE-2025-8088
, pontuação CVSS 8.8) para atacar empresas dos setores financeiro, industrial, de defesa e de logística na Europa e no Canadá.
A exploração bem-sucedida resultou na instalação de diferentes backdoors associados ao RomCom, como SnipBot (também chamado SingleCamper ou RomCom RAT 5.0), RustyClaw e o agente Mythic, segundo a ESET.
Em uma análise detalhada publicada em setembro de 2025, a AttackIQ descreve o RomCom como um grupo que monitora atentamente o cenário geopolítico da guerra na Ucrânia, usando essas informações para coleta de credenciais e exfiltração de dados, provavelmente para apoiar objetivos russos.
Conforme o pesquisador de segurança Francis Guibernau, “o RomCom foi inicialmente desenvolvido como um malware commodity para e-crime, projetado para facilitar a implantação e persistência de payloads maliciosos, integrando-se a operações conhecidas de ransomware focadas em extorsão.
Com o tempo, a ferramenta evoluiu de uma simples commodity para uma utilidade utilizada em operações de atores estatais.”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...