Ucrânia

Um novo ator de ameaças, ainda não documentado, foi identificado em ataques direcionados a organizações ucranianas, utilizando um malware chamado CANFAIL. O Google Threat Intelligence Group (GTIG) sugere que esse grupo pode estar associado a serviços de inteligência russos e tem como alvos principais instituições de defesa, governo e energia na Ucrânia. Recentemente, o grupo ampliou seu foco para incluir organizações de aeroespacial, manufatura militar, e até mesmo empresas de pesquisa nuclear e química.

O Computer Emergency Response Team da Ucrânia (CERT-UA) revelou detalhes sobre uma série de ciberataques direcionados às suas forças de defesa, utilizando um malware chamado PLUGGYAPE entre outubro e dezembro de 2025. A atividade foi atribuída com média confiança a um grupo de hackers russo conhecido como Void Blizzard. Os ataques empregaram aplicativos de mensagens como Signal e WhatsApp, onde os invasores se disfarçaram de organizações de caridade para induzir as vítimas a clicarem em links maliciosos que levavam ao download de arquivos comprimidos protegidos por senha. Esses arquivos continham um executável criado com PyInstaller que, ao ser executado, implantava o PLUGGYAPE. Este malware, escrito em Python, estabelece comunicação com servidores remotos via WebSocket ou MQTT, permitindo que os operadores executem códigos arbitrários nas máquinas comprometidas. Além disso, os endereços de comando e controle (C2) são obtidos de serviços externos, o que aumenta a segurança operacional dos atacantes. O CERT-UA também destacou que a interação inicial com as vítimas está sendo realizada com contas legítimas e na língua ucraniana, demonstrando um conhecimento detalhado sobre os alvos. Essa situação evidencia a crescente utilização de mensageiros como vetores de entrega de ferramentas de ciberameaças, representando um risco significativo para a segurança cibernética na região.

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

Um relatório da ESET revelou um aumento alarmante nas operações cibernéticas destrutivas contra a infraestrutura ucraniana, atribuídas ao grupo Sandworm, alinhado à Rússia. A campanha, que ocorreu entre abril e setembro de 2025, utilizou novas famílias de malware wiper, ZEROLOT e Sting, projetadas para causar interrupções em setores críticos como energia, logística e agricultura. Esses malwares sobrescrevem arquivos de sistema e dados, tornando as máquinas infectadas completamente inoperáveis. Os ataques foram frequentemente realizados através de anexos de spearphishing disfarçados de documentos financeiros legítimos, explorando canais de comunicação confiáveis entre parceiros da cadeia de suprimentos. A análise da ESET sugere que o objetivo principal era desestabilizar as exportações de grãos e a logística energética da Ucrânia, coincidindo com eventos de escalada regional. Além disso, a ESET observou uma colaboração entre diferentes grupos APT russos, indicando uma evolução preocupante na estratégia cibernética da Rússia, que agora combina espionagem com sabotagem econômica. As campanhas de Sandworm foram detectadas e mitigadas pela ESET em sua base de clientes, destacando a necessidade de vigilância contínua e medidas de proteção em resposta a essas ameaças.

Um novo grupo de ameaças, identificado como InedibleOchotense, foi observado realizando ataques de phishing que se disfarçam como a empresa de cibersegurança ESET, visando entidades ucranianas. A campanha, detectada em maio de 2025, utiliza e-mails e mensagens no Signal para enviar links para um instalador trojanizado da ESET. O e-mail, escrito em ucraniano, contém um erro de tradução que sugere uma origem russa. O instalador malicioso não apenas entrega o ESET AV Remover legítimo, mas também uma variante de um backdoor chamado Kalambur, que utiliza a rede Tor para controle remoto. Além disso, o grupo Sandworm, associado à Rússia, continua a realizar ataques destrutivos na Ucrânia, utilizando malware de limpeza de dados. Outro ator, RomCom, também explorou uma vulnerabilidade do WinRAR para realizar campanhas de phishing, visando setores financeiros e de defesa na Europa e Canadá. Esses incidentes destacam a crescente complexidade e a interconexão das ameaças cibernéticas na região, com implicações diretas para a segurança de dados e operações de empresas que utilizam tecnologias amplamente adotadas, como as da ESET.

Organizações na Ucrânia estão sendo alvo de ataques cibernéticos de origem russa, com o objetivo de roubar dados sensíveis e manter acesso persistente a redes comprometidas. Um relatório da equipe de Threat Hunter da Symantec e Carbon Black revelou que os ataques focaram uma grande organização de serviços empresariais por dois meses e uma entidade governamental local por uma semana. Os invasores utilizaram táticas de Living-off-the-Land (LotL) e ferramentas de uso duplo, minimizando o uso de malware para evitar detecções. Acesso inicial foi obtido através da implantação de web shells em servidores expostos, explorando vulnerabilidades não corrigidas. Um dos web shells, chamado Localolive, foi associado a um grupo de hackers conhecido como Sandworm, que já havia sido utilizado em campanhas anteriores. Os atacantes realizaram diversas ações, incluindo a execução de comandos PowerShell para manipular configurações do sistema e realizar reconhecimento. Embora a quantidade de malware utilizado tenha sido limitada, a atividade maliciosa foi predominantemente realizada com ferramentas legítimas, demonstrando um conhecimento profundo das ferramentas nativas do Windows. Este cenário destaca a crescente complexidade e sofisticação dos ataques cibernéticos, especialmente em contextos geopolíticos tensos.

Pesquisadores de cibersegurança revelaram uma campanha de spear-phishing chamada PhantomCaptcha, que visa organizações envolvidas em esforços de ajuda à Ucrânia. O ataque, ocorrido em 8 de outubro de 2025, afetou membros da Cruz Vermelha Internacional, do Conselho Norueguês para Refugiados, da UNICEF e administrações regionais ucranianas. Os e-mails de phishing se disfarçaram como comunicações do Escritório do Presidente da Ucrânia, contendo um PDF malicioso que redirecionava as vítimas para um site falso do Zoom. Ao clicar, os usuários eram induzidos a executar um comando PowerShell malicioso através de uma página falsa de verificação de navegador. O malware resultante, um trojan de acesso remoto (RAT) baseado em WebSocket, permite a execução de comandos remotos e exfiltração de dados. A infraestrutura do ataque foi registrada em março de 2025, demonstrando planejamento sofisticado. Embora não tenha sido atribuído a um grupo específico, a técnica utilizada tem semelhanças com ataques de grupos de hackers associados à Rússia. A campanha destaca a necessidade de vigilância contínua e medidas de segurança robustas para organizações que operam em contextos de crise.

No primeiro semestre de 2025, hackers russos intensificaram o uso de inteligência artificial (IA) em ataques cibernéticos contra a Ucrânia, conforme relatado pelo Serviço Estatal de Comunicações Especiais e Proteção da Informação (SSSCIP). A agência registrou 3.018 incidentes cibernéticos, um aumento em relação aos 2.575 do segundo semestre de 2024. Os ataques incluem campanhas de phishing e o uso de malware gerado por IA, como o WRECKSTEEL, que visa a administração estatal e infraestrutura crítica. Além disso, grupos como UAC-0218 e UAC-0226 têm direcionado suas ações a forças de defesa e órgãos governamentais, utilizando táticas sofisticadas como arquivos RAR armadilhados e técnicas de engenharia social. O SSSCIP também observou a exploração de vulnerabilidades em softwares de webmail, permitindo ataques sem interação do usuário. A utilização de serviços legítimos como Dropbox e Google Drive para hospedar malware também tem crescido, evidenciando a adaptação dos atacantes às tecnologias disponíveis. O cenário de guerra híbrida se intensifica, com operações cibernéticas sincronizadas a ataques físicos no campo de batalha.

O Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta sobre novos ataques cibernéticos direcionados no país, utilizando um backdoor denominado CABINETRAT. A atividade, atribuída ao grupo de ameaças UAC-0245, foi detectada em setembro de 2025, após a descoberta de arquivos XLL, que são complementos do Microsoft Excel. Esses arquivos estão sendo distribuídos em arquivos ZIP pelo aplicativo de mensagens Signal, disfarçados como documentos relacionados à detenção de indivíduos na fronteira ucraniana.

Uma nova campanha de phishing tem como alvo agências governamentais da Ucrânia, utilizando e-mails fraudulentos que imitam notificações da Polícia Nacional do país. Os ataques empregam arquivos SVG maliciosos que, ao serem abertos, iniciam o download de um arquivo ZIP protegido por senha, contendo um arquivo CHM. Esse arquivo, ao ser executado, ativa o CountLoader, que é usado para implantar o Amatera Stealer e o PureMiner, um minerador de criptomoedas. O Amatera Stealer coleta informações do sistema e dados de navegadores e aplicativos, enquanto o PureMiner opera de forma furtiva, utilizando técnicas de execução em memória. A campanha destaca a evolução das táticas de phishing, onde um simples arquivo SVG pode desencadear uma cadeia de infecções complexas. Além disso, a Fortinet observa que tanto o Amatera Stealer quanto o PureMiner são ameaças sem arquivo, o que dificulta a detecção por soluções tradicionais de segurança. Essa situação é um alerta para a crescente sofisticação dos ataques cibernéticos, especialmente em contextos de instabilidade política.