Campagne Cybernétique Russe Ciblant les Conscrits Ukrainiens

Un nouvel article révèle une campagne cybernétique liée à la Russie, ciblant les hommes ukrainiens en âge de conscription avec des logiciels malveillants voleurs d'informations. Cette opération, menée par le groupe UNC5812 de septembre à mi-octobre, visait à saper les efforts de mobilisation et de recrutement militaire de l'Ukraine. Les hackers ont promu des "programmes logiciels gratuits" prétendument conçus pour aider les conscrits potentiels à localiser et partager les emplacements des recruteurs militaires. Cependant, ces programmes installaient des malwares aux côtés d'une application leurre nommée Sunspinner, avec des variantes pour utilisateurs Windows et Android.

Ce n'est pas la première attaque de ce type. En octobre, l'équipe d'intervention d'urgence informatique ukrainienne (CERT-UA) a découvert une campagne diffusant le malware MeduzaStealer via un compte Telegram déguisé en bot de support technique pour l'application gouvernementale ukrainienne Reserve+. Pour attirer les victimes, UNC5812 a créé un canal Telegram dédié et un site web, jugé dangereux par Google, et a probablement acheté des publicités sur des canaux Telegram légitimes en langue ukrainienne.

Pour les utilisateurs Windows, le site des hackers installe PureStealer, un malware qui vole des données de navigateur, des portefeuilles de cryptomonnaies et d'autres informations. Pour Android, les fichiers malveillants tentent d'installer une variante du backdoor Android CraxsRAT, capable de voler des identifiants, de suivre la localisation et d'enregistrer l'audio et les frappes au clavier.

Au-delà de la compromission des appareils, UNC5812 mène des activités d'influence pour renforcer les récits anti-mobilisation et discréditer l'armée ukrainienne. Leur canal Telegram encourage le partage de vidéos d'actions "injustes" dans les centres de recrutement, et leur site publie du contenu anti-mobilisation en ukrainien. Google souligne que cette campagne s'inscrit dans un intérêt opérationnel accru des acteurs russes après les changements des lois de mobilisation ukrainiennes en 2024.

Cette opération met en lumière le rôle crucial des applications de messagerie dans la distribution de malwares et d'autres dimensions cybernétiques de la guerre en Ukraine. Telegram, en particulier, reste un vecteur principal pour les activités cybernétiques des acteurs liés à l'espionnage et à l'influence russes.

Source : The Cyber Post