O levantamento da Proofpoint mostrou que o grupo de hackers TA406 começou a atacar entidades governamentais na Ucrânia, realizando tanto coleta de credenciais quanto malware em suas campanhas de phishing. O objetivo dessas campanhas é coletar informações sobre a trajetória da invasão russa, segundo a pesquisa.
De acordo com a análise, o TA406 é um agente malicioso patrocinado pelo Estado da República Popular Democrática da Coreia, que se sobrepõe a atividades monitoradas publicamente por terceiros, como grupos de espionagem cibernética. O interesse do grupo na Ucrânia, segundo os pesquisadores, segue o histórico de ataques a entidades governamentais na Rússia para fins de coleta de inteligência estratégica.
A organização avaliou que o agente está mirando entidades governamentais ucranianas para entender melhor o interesse em continuar lutando contra a invasão russa e avaliar as perspectivas de médio prazo do conflito.
O malware depende de remetentes de e-mail gratuitos que falsificam membros de think tanks, que produzem pesquisas, análises e recomendações sobre políticas públicas e questões sociais e econômicas, para convencer o alvo a se envolver com o e-mail de phishing. A pesquisa mostrou que o conteúdo da isca é fortemente baseado em eventos recentes na política interna ucraniana.
Os especialistas apontaram que desde 2019, o TA406 tem demonstrado preferência por arquivos HTML e CHM para executar o PowerShell (solução de automação de tarefas) incorporado nos estágios iniciais das campanhas de implantação de malware. Os e-mails de isca observados em uma campanha do TA406, em fevereiro de 2025, personificam um pesquisador sênior fictício de um think tank chamado “Royal Institute of Strategic Studies”, que também é uma organização fictícia.
Na prática, o e-mail contém um link para um serviço de hospedagem de arquivos chamado MEGA, que baixa um arquivo RAR protegido por senha. Se o arquivo for descriptografado e executado, ele inicia uma cadeia de infecção usando o PowerShell para conduzir um reconhecimento extensivo no host alvo. Os pesquisadores analisaram que o agente enviou vários e-mails de phishing em dias consecutivos, quando o alvo não clicou no link, foi pergunta ao alvo se ele havia recebido os e-mails anteriores e se ele baixaria os arquivos.
Antes das campanhas de distribuição de malware do TA406, a Proofpoint também observou uma tentativa do TA406 de coletar credenciais enviando mensagens falsas de alerta de segurança da Microsoft para entidades governamentais ucranianas a partir de contas do Proton Mail. As mensagens alegam que a conta do alvo teve atividade de login incomum a partir de vários endereços IP e solicitam que o alvo verifique a tentativa de login por meio de um link para o domínio comprometido jetmf[.]com.
Uma página de coleta de credenciais não pôde ser recuperada no momento da análise. No entanto, o mesmo domínio comprometido já havia sido usado anteriormente para coleta de credenciais do Naver (portal de internet e motor de busca sul-coreano), o que se alinha com a atividade histórica do TA406, embora a atribuição de alta confiabilidade ao TA406 não tenha sido confirmada. Essas campanhas de coleta de credenciais ocorreram antes das tentativas de implantação do malware e tiveram como alvo alguns dos mesmos usuários posteriormente visados pela campanha de entrega de HTML.
