UNC5812: nueva campaña de malware dirigida a usuarios de Telegram y Dispositivos Windows y Android
En septiembre de 2024, el Grupo de Análisis de Amenazas de Google y Mandiant descubrieron una operación de espionaje e influencia, presuntamente rusa, llamada UNC5812. Esta operación utilizaba malware para Windows y Android, distribuido a través de un perfil de Telegram llamado “Civil Defense”.
Este perfil afirmaba ofrecer software gratuito para que los posibles reclutas pudieran ver y compartir ubicaciones de reclutadores militares ucranianos. Sin embargo, al instalar estos programas, se descargaba malware específico para el sistema operativo del usuario.
Dirigido a usuarios en Telegram
UNC5812 también realizaba actividades de influencia, promoviendo narrativas para socavar el apoyo a los esfuerzos de movilización de Ucrania. Utilizaban un canal de Telegram y un sitio web para distribuir el malware y difundir contenido anti-movilización. La campaña se volvió completamente operativa en septiembre de 2024, y se observó que compraban publicaciones promocionadas en canales legítimos de Telegram en ucraniano para atraer a más víctimas.
El objetivo final era que las víctimas descargaran programas desde el sitio web de “Civil Defense”, lo que resultaba en la instalación de diferentes familias de malware. Para usuarios de Windows, se descargaba un cargador de malware conocido como Pronsis Loader, mientras que para usuarios de Android, se intentaba instalar una variante del backdoor CRAXSRAT. Además, el sitio web contenía justificaciones para la entrega de APK fuera de la App Store y guías para desactivar Google Play Protect.
Operación de Influencia Contra la Movilización
Paralelamente, UNC5812 también buscaba desacreditar los esfuerzos de movilización de Ucrania, solicitando a los usuarios que subieran videos de acciones injustas de los centros de reclutamiento. Este contenido se utilizaba para reforzar las narrativas anti-movilización y desacreditar al ejército ucraniano.
Una nueva investigación de Google Threat Intelligence destapa una operación rusa dirigida a Ucrania
UNC5812 utiliza dos cadenas de entrega de malware distintas para dispositivos Windows y Android, distribuidas desde su sitio web civildefense[.]com[.]ua. Ambas cadenas incluyen la entrega de una aplicación de mapeo señuelo llamada SUNSPINNER, que muestra ubicaciones de reclutas militares ucranianos desde un servidor controlado por los atacantes.
Para Windows, el malware descargado es una versión personalizada de Pronsis Loader, que recupera tanto el binario señuelo SUNSPINNER como un descargador de segunda etapa, “civildefensestarter.exe”. Este proceso culmina con la ejecución de PURESTEALER, un infostealer diseñado para robar datos del navegador, carteras de criptomonedas y datos de aplicaciones de mensajería y correo electrónico.
Para Android, el archivo APK descargado es una variante del backdoor CRAXSRAT, que permite la gestión de archivos, SMS, contactos y credenciales, además de capacidades de monitoreo de ubicación, audio y pulsaciones de teclas. Este APK también incluye la aplicación señuelo SUNSPINNER y solicita permisos para instalar paquetes adicionales, descargando el payload CRAXSRAT si se conceden los permisos.
Análisis de Malware
UNC5812 utiliza dos cadenas de entrega de malware distintas para dispositivos Windows y Android, distribuidas desde su sitio web civildefense[.]com[.]ua. Ambas cadenas incluyen la entrega de una aplicación de mapeo señuelo llamada SUNSPINNER, que muestra ubicaciones de reclutas militares ucranianos desde un servidor controlado por los atacantes.
Para Windows, el malware descargado es una versión personalizada de Pronsis Loader, que recupera tanto el binario señuelo SUNSPINNER como un descargador de segunda etapa, “civildefensestarter.exe”. Este proceso culmina con la ejecución de PURESTEALER, un infostealer diseñado para robar datos del navegador, carteras de criptomonedas y datos de aplicaciones de mensajería y correo electrónico.
Para Android, el archivo APK descargado es una variante del backdoor CRAXSRAT, que permite la gestión de archivos, SMS, contactos y credenciales, además de capacidades de monitoreo de ubicación, audio y pulsaciones de teclas. Este APK también incluye la aplicación señuelo SUNSPINNER y solicita permisos para instalar paquetes adicionales, descargando el payload CRAXSRAT si se conceden los permisos.
Powered by WPeMatico
