Pesquisadores do Google dizem que há evidências de que um notório grupo de hackers ligado à Rússia, rastreado como “ColdRiver”, está evoluindo suas táticas de phishing para malware de roubo de dados direcionado às vítimas.

ColdRiver, também conhecido como "CallistoGroup" e "StarBlizzard", é conhecido por suas atividades de espionagem de longo prazo contra países da OTAN, especialmente os Estados Unidos e o Reino Unido.

Os investigadores acreditam que as atividades do grupo visam frequentemente indivíduos e organizações de alto nível envolvidos em assuntos internacionais e defesa, indicando os seus laços estreitos com a Rússia. Os promotores dos EUA indiciaram em dezembro dois russos com ligações com o grupo.

Em uma nova pesquisa esta semana, o Grupo de Análise de Ameaças (TAG) do Google disse ter observado o ColdRiver intensificando suas atividades nos últimos meses e usando novas táticas capazes de causar mais danos às suas vítimas, principalmente alvos na Ucrânia e seus aliados da OTAN, instituições acadêmicas e organizações não governamentais.

Estas últimas descobertas surgem pouco depois de investigadores da Microsoft terem relatado que o grupo de hackers alinhado com a Rússia melhorou a sua capacidade de escapar à deteção.

Os pesquisadores do TAG compartilharam a pesquisa antes de seu lançamento na quinta-feira, na qual observaram que o ColdRiver se afastou de sua tática usual de phishing para obter credenciais e, em vez disso, espalha o malware por meio de campanhas que usam documentos PDF como isca.

TAG disse que desde novembro de 2022, ColdRiver enviou uma série de documentos PDF aos alvos, disfarçados como artigos de edição de opinião ou outros tipos de artigos, e as contas enganadas esperam solicitar feedback sobre esses artigos.

Quando uma vítima abre um arquivo PDF benigno, o texto aparece criptografado. Se o alvo responder que não consegue ler o documento, os hackers enviam um link para uma ferramenta de “descriptografia”, que os pesquisadores do Google dizem ser um backdoor personalizado rastreado como “SPICA”. O Google disse que este é o primeiro malware personalizado desenvolvido e usado pelo ColdRiver. Esse backdoor permite que invasores acessem continuamente a máquina da vítima, executem comandos, roubem cookies do navegador e vazem documentos.

Billy Leonard, engenheiro de segurança da TAG, disse que o Google não sabe o número de vítimas comprometidas com sucesso pelo SPICA, mas disse que o Google acredita que o SPICA é usado apenas para “ataques direcionados muito limitados”. Leonard acrescentou que o malware provavelmente ainda está em desenvolvimento ativo e sendo usado em ataques contínuos, e que a atividade do ColdRiver “permaneceu bastante consistente nos últimos anos”, apesar das ações policiais.

O Google disse que depois de descobrir a campanha de malware ColdRiver, a gigante da tecnologia adicionou todos os sites, domínios e arquivos identificados ao seu serviço Navegação Segura para evitar que a campanha visasse ainda mais os usuários do Google.

Os pesquisadores do Google já vincularam o grupo ColdRiver a uma operação de hackers e vazamentos que roubou e vazou um grande número de e-mails e documentos de apoiadores seniores do Brexit, incluindo Sir Richard Dearlove, ex-chefe da agência de inteligência estrangeira britânica MI6.