Um novo grupo de ameaça, identificado como InedibleOchotense, está se passando pela empresa eslovaca de cibersegurança ESET para distribuir instaladores adulterados de software e infiltrar o backdoor Kalambur em organizações ucranianas. A atividade foi detectada em maio de 2025 e é considerada alinhada a interesses russos, segundo o APT Activity Report Q2-Q3 2025 da própria ESET.
Como o ataque acontece
Os criminosos enviam e-mails direcionados e mensagens no aplicativo Signal contendo links para supostos instaladores da ESET. Os domínios usados para hospedar os arquivos maliciosos incluem esetsmart[.]com, esetscanner[.]com e esetremover[.]com. O e-mail, escrito majoritariamente em ucraniano, apresenta um termo em russo na primeira linha, apontando para um possível erro de tradução.
Ao executar o instalador, a vítima recebe simultaneamente o utilitário legítimo ESET AV Remover e uma versão do backdoor Kalambur (também conhecido como SUMBUR). O malware utiliza a rede Tor para comando e controle, pode instalar OpenSSH e habilita o protocolo RDP na porta 3389, abrindo caminho para acesso remoto não autorizado.
Vínculos com outros grupos
A ESET relata sobreposição tática entre o InedibleOchotense e campanhas anteriormente atribuídas pelo EclecticIQ ao backdoor BACKORDER e, pela CERT-UA, ao grupo UAC-0212, ambos sub-clusters do coletivo Sandworm (APT44). Em relatório recente, a CERT-UA também conectou um ataque quase idêntico ao sub-cluster UAC-0125, outra célula do mesmo grupo.
Operações destrutivas do Sandworm
Paralelamente, o Sandworm continua a lançar ofensivas de wipers na Ucrânia. Em abril de 2025, as variantes ZEROLOT e Sting atingiram uma universidade não divulgada. Posteriormente, diferentes malwares de limpeza de dados foram usados contra entidades governamentais, de energia, logística e do setor de grãos. A ESET aponta que o sub-grupo UAC-0099 realiza o acesso inicial e repassa alvos validados ao Sandworm para ações destrutivas.
RomCom explora falha 0-day no WinRAR
Outro ator alinhado à Rússia, o RomCom (Storm-0978/Tropical Scorpius/UNC2596/Void Rabisu), conduziu em julho de 2025 campanhas de spear-phishing que exploram a vulnerabilidade CVE-2025-8088 no WinRAR (pontuação CVSS 8,8). As mensagens miraram companhias dos setores financeiro, manufatureiro, defesa e logística na Europa e no Canadá, entregando variantes dos malwares SnipBot (RomCom RAT 5.0), RustyClaw e um agente Mythic.
Imagem: Internet
Relatório do AttackIQ publicado em setembro de 2025 descreve o RomCom como um grupo que monitora atentamente o cenário geopolítico da guerra na Ucrânia para conduzir roubo de credenciais e exfiltração de dados, hoje a serviço de objetivos estatais russos.
Com a disseminação de instaladores falsos e o uso contínuo de wipers e vulnerabilidades de dia zero, especialistas alertam que ferramentas destrutivas seguem sendo parte constante do arsenal de grupos alinhados à Rússia em solo ucraniano.
Com informações de The Hacker News