Un recente attacco di spionaggio informatico condotto da un gruppo russo ha preso di mira l'esercito ucraino utilizzando malware diffuso tramite Telegram. Questa operazione di spionaggio, identificata come UNC5812, combina malware per Windows e Android e si nasconde dietro un'identità su Telegram chiamata Civil Defense. Secondo le analisi del Threat Analysis Group di Google e Mandiant, questo gruppo ha creato un canale Telegram il 10 settembre 2024, con 184 iscritti, e gestisce un sito web registrato ad aprile 2024. Civil Defense si presenta come un fornitore di programmi gratuiti per aiutare i potenziali coscritti a individuare i reclutatori militari ucraini, ma in realtà distribuisce malware.

Quando questi programmi vengono installati su dispositivi Android con Google Play Protect disabilitato, viene distribuito un malware specifico per il sistema operativo insieme a un'applicazione di mappatura fittizia chiamata SUNSPINNER. UNC5812 è attivo anche in operazioni di influenza, diffondendo narrazioni per minare il supporto alla mobilitazione e al reclutamento militare dell'Ucraina. Questo mette in evidenza il ruolo dei messaggistica istantanea, come Telegram, nella distribuzione di malware e nelle strategie di guerra cibernetica della Russia contro l'Ucraina.

Distribuzione del Malware

Per gli utenti Windows, il gruppo distribuisce un malware tramite un archivio ZIP che contiene un loader PHP chiamato Pronsis, utilizzato per diffondere SUNSPINNER e un malware stealer conosciuto come PureStealer. Quest'ultimo è venduto tra i 150 e i 699 dollari, a seconda del tipo di licenza. SUNSPINNER mostra una mappa con presunte posizioni di reclutatori militari ucraini, controllate da un server C2. Per i dispositivi Android, il sito web distribuisce un file APK dannoso, che include un trojan di accesso remoto chiamato CraxsRAT, noto per le sue capacità di controllo remoto e funzioni di spionaggio avanzate.

CraxsRAT può registrare tasti, manipolare gesti e registrare video dalle telecamere e dallo schermo. Dopo che il malware è stato esposto da Cyfirma nell'agosto 2023, il gruppo EVLF, responsabile dello sviluppo, ha cessato le operazioni, vendendo il canale Telegram a un attore minaccioso di lingua cinese. Nonostante il sito Civil Defense pubblicizzi supporto per macOS e iPhone, al momento dell'analisi solo i payload per Windows e Android erano disponibili. Il sito giustifica l'hosting dell'applicazione Android al di fuori del Play Store come un mezzo per proteggere l'anonimato e la sicurezza degli utenti, fornendo istruzioni video su come disabilitare Google Play Protect.