Un gruppo di hacktivisti noto come Head Mare è stato collegato a una serie di attacchi informatici mirati contro organizzazioni situate in Russia e Bielorussia. Secondo un'analisi di Kaspersky, i metodi utilizzati da questo gruppo sono all'avanguardia e includono l'uso della vulnerabilità CVE-2023-38831 di WinRAR, che consente l'esecuzione di codice arbitrario su un sistema tramite un archivio appositamente preparato. Questo approccio permette al gruppo di distribuire e mascherare il payload dannoso in modo più efficace.

Head Mare, attivo dal 2023, è uno dei gruppi di hacktivisti che attaccano le organizzazioni russe nel contesto del conflitto russo-ucraino iniziato un anno prima. Il gruppo mantiene anche una presenza su X, dove ha divulgato informazioni sensibili e documenti interni delle vittime. I bersagli degli attacchi del gruppo includono settori governativi, dei trasporti, energetico, manifatturiero e ambientale.

A differenza di altri gruppi di hacktivisti che mirano a infliggere "massimi danni" alle aziende dei due paesi, Head Mare cripta anche i dispositivi delle vittime utilizzando LockBit per Windows e Babuk per Linux (ESXi), chiedendo un riscatto per la decrittazione dei dati. Nel loro arsenale di strumenti sono inclusi PhantomDL e PhantomCore. PhantomDL è una backdoor basata su Go capace di consegnare payload aggiuntivi e caricare file di interesse su un server di comando e controllo (C2). PhantomCore, il predecessore di PhantomDL, è un trojan di accesso remoto con funzionalità simili, che permette di scaricare file dal server C2, caricare file da un host compromesso al server C2 e eseguire comandi nel cmd.exe.

Gli attaccanti creano attività pianificate e valori di registro chiamati **MicrosoftUpdateCore** e **MicrosoftUpdateCoree** per mascherare la loro attività come se fosse correlata al software Microsoft. Sono stati trovati esempi di LockBit utilizzati dal gruppo con nomi come OneDrive.exe e VLC.exe, situati nella directory C:ProgramData, mascherandosi come applicazioni legittime di OneDrive e VLC. Questi artefatti sono stati distribuiti tramite campagne di phishing sotto forma di documenti aziendali con doppie estensioni (es. решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe o тз на разработку.pdf.exe).

Un altro componente cruciale del loro arsenale di attacco è **Sliver**, un framework C2 open-source, e una collezione di vari strumenti pubblicamente disponibili come rsockstun, ngrok e Mimikatz che facilitano la scoperta, il movimento laterale e la raccolta di credenziali. Le intrusioni culminano nella distribuzione di LockBit o Babuk a seconda dell'ambiente di destinazione, seguite dal rilascio di una nota di riscatto che richiede un pagamento in cambio di un decrittore per sbloccare i file.

Le tattiche, i metodi, le procedure e gli strumenti utilizzati dal gruppo Head Mare sono simili a quelli di altri gruppi associati a cluster che prendono di mira organizzazioni in Russia e Bielorussia nel contesto del conflitto russo-ucraino. Tuttavia, il gruppo si distingue per l'uso di malware personalizzati come PhantomDL e PhantomCore, oltre a sfruttare una vulnerabilità relativamente nuova, la CVE-2023-38831, per infiltrarsi nelle infrastrutture delle vittime durante le campagne di phishing.