Una recente campagna di cyber spionaggio sta colpendo il settore aerospaziale e della difesa russo, mettendo in allarme le aziende del comparto. L'attacco, denominato Operation CargoTalon, viene attribuito a un gruppo identificato come UNG0901 e si caratterizza per l'utilizzo di un sofisticato malware backdoor chiamato EAGLET, progettato per l'esfiltrazione di dati sensibili.

La catena di attacco inizia con email di spear phishing che prendono di mira i dipendenti della Voronezh Aircraft Production Association (VASO), una delle principali realtà della produzione aeronautica russa. Il messaggio fraudolento contiene un archivio ZIP con al suo interno un file di collegamento Windows (LNK). Attraverso uno script PowerShell, viene mostrato un finto documento Excel che serve da esca, mentre in background viene installato il malware EAGLET sotto forma di DLL.

Il documento Excel di copertura fa riferimento a Obltransterminal, una società di logistica russa sottoposta a sanzioni dagli Stati Uniti nel 2024, probabilmente per conferire credibilità alla comunicazione e aumentare il tasso di successo dell’inganno. Una volta attivato, EAGLET raccoglie informazioni sul sistema infetto e si collega a un server remoto hardcoded per ricevere comandi, tra cui upload e download di file, oltre a fornire pieno accesso shell al computer compromesso. Al momento, i dettagli sui payload successivi sono limitati poiché il server di comando e controllo risulta offline.

Analisi approfondite hanno rivelato che attacchi simili sono stati rivolti anche ad altre realtà militari russe, con elementi di codice e strategie in comune con il gruppo noto come Head Mare, specializzato in attacchi contro enti russi. EAGLET mostra somiglianze funzionali con PhantomDL, un altro malware backdoor sviluppato in Go, soprattutto per la capacità di gestire file da remoto e per la modalità di diffusione tramite allegati di phishing.

Parallelamente, un altro gruppo statale russo, UAC-0184 (conosciuto anche come Hive0156), ha intensificato le attività malevole contro obiettivi ucraini. In queste operazioni viene impiegato Remcos RAT, distribuito attraverso catene di attacco semplificate che sfruttano file LNK e PowerShell per il download di loader e payload, puntando a documenti tematici sulle forze armate ucraine e ampliando potenzialmente il raggio degli attacchi.

Questa escalation evidenzia come i settori strategici russi siano diventati bersagli prioritari di sofisticate campagne di cyber spionaggio, con minacce in continua evoluzione che sfruttano tecniche di phishing, file malevoli e backdoor avanzate per ottenere il controllo dei sistemi e sottrarre informazioni critiche.