Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha emesso un avviso riguardo a una nuova attività da parte di un gruppo criminale organizzato identificato come UAC-0173. Questo gruppo, noto per le sue operazioni di attacco informatico, ha iniziato a diffondere un trojan di accesso remoto chiamato DCRat o DarkCrystal RAT. L'attività è stata osservata a partire dalla metà di gennaio 2025, con obiettivi principali i notai dell'Ucraina.

Gli attacchi vengono effettuati attraverso email di phishing che sembrano provenire dal Ministero della Giustizia ucraino. Queste email chiedono ai destinatari di scaricare un file eseguibile che, una volta avviato, installa il malware DCRat. Il file binario è ospitato sul servizio di archiviazione cloud R2 di Cloudflare, sfruttando la fiducia nei servizi cloud per distribuire il malware.

Una volta compromesso il sistema, gli aggressori installano strumenti aggiuntivi come RDPWRAPPER, che consente sessioni RDP parallele. Utilizzando l'utility BORE, è possibile stabilire connessioni RDP direttamente da Internet al computer compromesso. Inoltre, i criminali utilizzano altri strumenti come FIDDLER per intercettare dati di autenticazione inseriti nei registri statali, NMAP per la scansione di rete e XWorm per il furto di dati sensibili come credenziali e contenuti della clipboard.

I sistemi compromessi vengono anche utilizzati per inviare email malevole tramite l'utility SENDMAIL, permettendo la propagazione degli attacchi. Questo sviluppo segue un altro recente attacco attribuito a un sottogruppo del gruppo Sandworm (noto anche come APT44, Seashell Blizzard, e UAC-0002), che ha sfruttato una vulnerabilità ora risolta in Microsoft Windows.

Le catene di attacco sono state progettate per eseguire comandi PowerShell che mostrano un file esca mentre lanciano altri payload in background, inclusi SECONDBEST, SPARK e un loader Golang chiamato CROOKBAG. L'attività, attribuita a UAC-0212, ha preso di mira aziende fornitrici di Serbia, Repubblica Ceca e Ucraina tra luglio 2024 e febbraio 2025. Alcuni di questi attacchi sono stati documentati da StrikeReady Labs e Microsoft, che monitora il gruppo sotto il nome BadPilot.