Il gruppo di hacker russi noto come Gamaredon è stato recentemente collegato a una campagna di phishing mirata contro entità in Ucraina. Questo attacco è stato progettato per distribuire un trojan di accesso remoto chiamato Remcos RAT. L'obiettivo principale di questa campagna è ingannare le vittime utilizzando file di collegamento Windows (LNK) compressi all'interno di archivi ZIP, camuffati da documenti Microsoft Office legati alla guerra in corso tra Russia e Ucraina.
I file LNK, una volta aperti, eseguono codice PowerShell che scarica e avvia il payload successivo, mantenendo l'inganno con la visualizzazione di un file esca alla vittima. La fase successiva prevede un altro archivio ZIP contenente una libreria DLL malevola che, attraverso una tecnica chiamata DLL side-loading, esegue il payload finale di Remcos, decifrato da file criptati presenti nell'archivio.
La campagna è stata collegata al gruppo Gamaredon attraverso l'uso di due macchine precedentemente utilizzate dal gruppo stesso per scopi simili. Queste macchine sono state impiegate nella creazione dei file di collegamento malevoli, suggerendo un coinvolgimento diretto del gruppo. Gamaredon, noto anche con altri nomi come Aqua Blizzard e Shuckworm, è stato associato al Servizio di Sicurezza Federale della Russia (FSB) e ha operato almeno dal 2013, concentrandosi su attacchi di spionaggio e furto di dati contro organizzazioni ucraine.
Parallelamente, un'altra campagna di phishing è stata documentata da Silent Push, che utilizza esche su siti web per raccogliere informazioni contro individui russi simpatizzanti dell'Ucraina. Questa attività sembra essere opera dei Servizi di Intelligence russi o di un attore di minaccia allineato agli interessi russi. Le pagine di phishing sono ospitate su un provider di hosting "bulletproof" chiamato Nybula LLC. Gli attori della minaccia utilizzano Google Forms e risposte via email per raccogliere informazioni personali dalle vittime, comprese opinioni politiche, abitudini e condizioni fisiche.
Le campagne di phishing osservate condividono tratti comuni e un obiettivo simile: raccogliere informazioni personali dalle vittime che visitano i siti. Queste campagne di phishing potrebbero essere considerate come delle "trappole" messe in atto per raccogliere dati sensibili da parte di individui potenzialmente vulnerabili.