Google revela una nueva cibercampaña rusa contra Ucrania

Según el blog de inteligencia de amenazas de Google, el equipo Threat Analysis Group de la compañía y Mandiant descubrieron el pasado mes de septiembre una operación híbrida rusa, que mezcla influencia y espionaje, a la que se ha denominado UNC5812. La operación parte del canal de Telegram Civil Defense, así como en una web del mismo nombre registrada en abril.

Los expertos de la compañía creen que para atraer a sus víctimas, la campaña se sirve de post promocionales en canales legítimos de Telegram en ucraniano. Es el caso, por ejemplo, de un canal con cerca de 80.000 suscriptores y dedicado a las alertas de misiles, en el que se promocionó Civil Defense el 18 de septiembre. Se cree que la campaña está todavía activa, dado que se ha visto en algún post ya entrado octubre.

Civil Defense se hace pasar por proveedor de programas de software libre que permite a los reclutas potenciales ver y compartir ubicaciones de reclutamiento ucraniano. Si se instala, puede desplegar un malware específico para el sistema operativo, junto a la aplicación de mapeo de señuelo. Además, UNC5812 está “activamente implicada en actividades de influencia, proporcionando narrativas y solicitando contenido destinado a socavar el apoyo a los esfuerzos de movilización de Ucrania”.

Según la compañía, el objetivo final de la campaña es que las víctimas accedan a la web Civil Defense, controlada por UNC5812 y en la que se promociona la descarga de programas para diferentes sistemas operativos, que incorporar diferentes familias de malware: desde infostealers para Windows hasta el backdoor CRAXSRAT para Android.