Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha recentemente rivelato che sono stati registrati almeno tre attacchi informatici contro enti statali e infrastrutture critiche nel paese con l'obiettivo di rubare dati sensibili. La campagna, secondo quanto riferito dall'agenzia, ha coinvolto l'uso di account email compromessi per inviare messaggi di phishing contenenti link a servizi legittimi come DropMeFiles e Google Drive. In alcuni casi, i link erano incorporati all'interno di allegati PDF.

Questi messaggi digitali cercavano di indurre una falsa sensazione di urgenza affermando che un'agenzia governativa ucraina aveva pianificato di tagliare gli stipendi, spingendo il destinatario a cliccare sul link per vedere l'elenco dei dipendenti interessati. Visitando questi link, si scarica un loader in Visual Basic Script (VBS) progettato per recuperare ed eseguire uno script PowerShell capace di raccogliere file che corrispondono a un insieme specifico di estensioni e di catturare screenshot.

L'attività, attribuita a un cluster di minacce tracciato come UAC-0219, è in corso almeno dall'autunno 2024, con le prime versioni che utilizzano una combinazione di binari EXE, un VBS stealer e un software di editing immagini legittimo chiamato IrfanView per realizzare i suoi obiettivi. CERT-UA ha dato al loader VBS e al malware PowerShell il nome di WRECKSTEEL. Gli attacchi non sono stati attribuiti a nessun paese specifico.

Questi attacchi informatici seguono la scoperta di una campagna di phishing che ha preso di mira entità della difesa e dell'aerospazio connesse al conflitto in corso in Ucraina per raccogliere credenziali webmail tramite pagine di login false. I set di intrusioni allineati alla Russia, come UAC-0050 e UAC-0006, sono stati osservati portare avanti campagne di spam motivate finanziariamente e legate all'espionaggio dall'inizio del 2025, principalmente prendendo di mira vari settori come governi, difesa, energia e ONG, per distribuire famiglie di malware come sLoad, Remcos RAT, NetSupport RAT e SmokeLoader.

Lo sviluppo arriva mentre Kaspersky ha avvertito che l'attore di minacce noto come Head Mare ha preso di mira diverse entità russe con un malware noto come PhantomPyramid, capace di elaborare istruzioni emesse dall'operatore tramite un server di comando e controllo (C2), oltre a scaricare ed eseguire payload aggiuntivi come MeshAgent.

Le aziende energetiche russe, le imprese industriali e i fornitori e sviluppatori di componenti elettronici sono stati anch'essi bersaglio di attacchi di phishing montati da un attore di minacce soprannominato Unicorn, che ha rilasciato un trojan VBS progettato per sottrarre file e immagini dagli host infetti. A fine marzo, SEQRITE Labs ha rivelato che reti accademiche, governative, aerospaziali e della difesa in Russia sono state prese di mira con documenti esca armati, probabilmente inviati tramite email di phishing, come parte di una campagna denominata Operation HollowQuill, iniziata intorno a dicembre 2024.