En septembre 2024, le Groupe d’analyse des solutions de Google et Mandiant a découvert une opération d’espionnage et d’influence, vraisemblablement russe, appelée UNC5812. Cette opération utilise des logiciels malveillants pour Windows et Android, distribués à partir d’un profil de Telegram appelé « Civil Defense ».
Ce profil est confirmé par l’offre d’un logiciel gratuit pour que les éventuels reclutas puissent être transférés vers les emplacements des reclutadores militaires ukrainiens. Cependant, lors de l’installation de ces programmes, des logiciels malveillants spécifiques au système d’exploitation de l’utilisateur sont téléchargés.
Diriger les utilisateurs sur Telegram
UNC5812 a également réalisé des activités d’influence, promouvant des récits pour soutenir l’action sur les forces de mobilité de l’Ukraine. Utilisez un canal de Telegram et un site Web pour distribuer des logiciels malveillants et diffuser des contenus anti-movilización. La campagne a été complètement opérationnelle en septembre 2024, et on a observé que des publications promotionnelles ont été publiées sur les canaux légitimes de Telegram en Ukraine pour attirer plus de victimes.
L’objectif final était que les victimes téléchargent des programmes du site Web de « Civil Defense », ce qui entraîne l’installation de différentes familles de logiciels malveillants. Pour les utilisateurs de Windows, téléchargez un chargeur de malware connu comme Pronsis Loader, alors que pour les utilisateurs d’Android, vous aurez l’intention d’installer une variante de la porte dérobée CRAXSRAT. De plus, le site Web contient des justifications pour l’entrée de l’APK hors de l’App Store et des conseils pour désactiver Google Play Protect.
Opération d’influence contre la mobilité
Parallèlement, UNC5812 cherche également à désaccréditer les activités de mobilité d’Ukraine, en sollicitant les utilisateurs qui subissent des vidéos d’actions injustes des centres de recrutement. Ce contenu est utilisé pour renforcer les narrations anti-mobilisation et désaccréditer l’exercice ukrainien.
Une nouvelle enquête de Google Threat Intelligence sur une opération russe dirigée en Ukraine
UNC5812 utilise deux chaînes de programmes malveillants distincts pour les appareils Windows et Android, distribués depuis votre site Web civildefense(.)avec(.)ua. Les chaînes incluent l’entrée d’une application de mapeo señuelo appelée SUNSPINNER, qui doit se trouver dans des emplacements de militaires américains depuis un serveur contrôlé par les attaquants.
Pour Windows, le malware téléchargé est une version personnalisée de Pronsis Loader, qui récupère le fichier binaire señuelo SUNSPINNER comme un téléchargement de deuxième étape, « civildefensestarter.exe ». Ce processus culmine avec l’exécution de PURESTEALER, un voleur d’informations conçu pour voler les données du navigateur, les cartes de crypto-monnaie et les données des applications de messagerie et de courrier électronique.
Pour Android, le fichier APK téléchargé est une variante de la porte dérobée CRAXSRAT, qui permet la gestion des archives, SMS, contacts et informations d’identification, ainsi que les capacités de surveillance de l’emplacement, audio et pulsations des touches. Ce APK inclut également l’application SUNSPINNER et demande des autorisations pour installer des paquets supplémentaires, en téléchargeant le payload CRAXSRAT si vous accordez les autorisations.
Analyse des logiciels malveillants
UNC5812 utilise deux chaînes de programmes malveillants distincts pour les appareils Windows et Android, distribués depuis votre site Web civildefense(.)avec(.)ua. Les chaînes incluent l’entrée d’une application de mapeo señuelo appelée SUNSPINNER, qui doit se trouver dans des emplacements de militaires américains depuis un serveur contrôlé par les attaquants.
Pour Windows, le malware téléchargé est une version personnalisée de Pronsis Loader, qui récupère le fichier binaire señuelo SUNSPINNER comme un téléchargement de deuxième étape, « civildefensestarter.exe ». Ce processus culmine avec l’exécution de PURESTEALER, un voleur d’informations conçu pour voler les données du navigateur, les cartes de crypto-monnaie et les données des applications de messagerie et de courrier électronique.
Pour Android, le fichier APK téléchargé est une variante de la porte dérobée CRAXSRAT, qui permet la gestion des archives, SMS, contacts et informations d’identification, ainsi que les capacités de surveillance de l’emplacement, audio et pulsations des touches. Ce APK inclut également le programme d’application SUNSPINNER et sollicite des autorisations pour installer des paquets supplémentaires, en téléchargeant le payload CRAXSRAT si vous accordez les autorisations.