De adoptie van kunstmatige intelligentie (AI) door Russische hackers bij cyberaanvallen tegen Oekraïne heeft in de eerste helft van 2025 (eerste helft van 2025) een nieuw niveau bereikt, aldus de Staatsdienst voor Speciale Communicatie en Informatiebescherming (SSSCIP) van het land.
“Hackers gebruiken het nu niet alleen om phishing-berichten te genereren, maar sommige van de malwaremonsters die we hebben geanalyseerd vertonen duidelijke tekenen dat ze met AI zijn gegenereerd – en aanvallers zullen het daar zeker niet bij laten”, aldus het bureau in een woensdag gepubliceerd rapport.
SSSCIP zei dat er gedurende de periode 3.018 cyberincidenten zijn geregistreerd, tegen 2.575 in de tweede helft van 2024 (tweede helft van 2024). Lokale autoriteiten en militaire entiteiten waren getuige van een toename van het aantal aanvallen vergeleken met de tweede helft van 2024, terwijl het aantal aanvallen op de overheid en de energiesector daalde.
Een opmerkelijke aanval die werd waargenomen, betrof het gebruik door UAC-0219 van malware genaamd WRECKSTEEL bij aanvallen gericht op overheidsinstanties en kritieke infrastructuurvoorzieningen in het land. Er zijn aanwijzingen dat de PowerShell-malware voor het stelen van gegevens is ontwikkeld met behulp van AI-tools.
Enkele van de andere campagnes die tegen Oekraïne zijn geregistreerd, worden hieronder vermeld:
- Phishing-campagnes georkestreerd door UAC-0218 gericht op defensietroepen om HOMESTEEL te leveren met behulp van RAR-archieven met boobytraps
- Phishingcampagnes georkestreerd door UAC-0226 gericht op organisaties die betrokken zijn bij de ontwikkeling van innovaties in de defensie-industriële sector, lokale overheidsinstanties, militaire eenheden en wetshandhavingsinstanties om een stealer genaamd GIFTEDCROOK te verspreiden
- Phishing-campagnes georkestreerd door UAC-0227 gericht op lokale autoriteiten, kritieke infrastructuurfaciliteiten en Territorial Recruitment and Social Support Centers (TRC’s en SSC’s) die gebruik maken van ClickFix-achtige tactieken of SVG-bestandsbijlagen om stealers zoals Amatera Stealer en Strela Stealer te verspreiden
- Phishingcampagnes georkestreerd door UAC-0125, een subcluster met banden met Sandworm, die e-mailberichten verzonden met links naar een website die zich voordeed als ESET om een op C# gebaseerde achterdeur met de naam Kalambur (ook bekend als SUMBUR) te leveren onder het mom van een programma voor het verwijderen van bedreigingen
SSSCIP zei dat het ook de aan Rusland gelinkte APT28-acteurs (ook bekend als UAC-0001) heeft waargenomen die cross-site scriptingfouten bewapenen in Roundcube en (CVE-2023-43770, CVE-2024-37383 en CVE-2025-49113) en Zimbra (CVE-2024-27443 en CVE-2025-27915) webmailsoftware om zero-click-aanvallen uit te voeren.
“Bij het misbruiken van dergelijke kwetsbaarheden injecteerden aanvallers doorgaans kwaadaardige code die, via de Roundcube of Zimbra API, toegang kreeg tot inloggegevens, contactlijsten en geconfigureerde filters om alle e-mails door te sturen naar door de aanvaller gecontroleerde mailboxen”, aldus SSSCIP.
“Een andere methode om inloggegevens te stelen met behulp van deze kwetsbaarheden was het maken van verborgen HTML-blokken (zichtbaarheid: verborgen) met login- en wachtwoordinvoervelden, waarbij het attribuut autocomplete = “on” was ingesteld. Hierdoor konden de velden automatisch worden gevuld met gegevens die in de browser waren opgeslagen en die vervolgens werden geëxfiltreerd. “
Het agentschap onthulde ook dat Rusland zich blijft bezighouden met hybride oorlogsvoering, waarbij het zijn cyberoperaties synchroniseert in combinatie met kinetische aanvallen op het slagveld, waarbij de Sandworm (UAC-0002)-groep zich richt op organisaties in de energie-, defensie-, internetproviders en onderzoekssectoren.
Bovendien hebben verschillende dreigingsgroepen die zich op Oekraïne richten hun toevlucht genomen tot het misbruiken van legitieme diensten, zoals Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io, om malware- of phishing-pagina’s te hosten of om te zetten in een kanaal voor gegevensexfiltratie.
“Het gebruik van legitieme online bronnen voor kwaadaardige doeleinden is geen nieuwe tactiek”, aldus SSSCIP. “Het aantal van dergelijke platforms dat door Russische hackers wordt uitgebuit, is de laatste tijd echter gestaag toegenomen.”
