De door de Russische staat gesponsorde dreigingsacteur, bekend als APT28 is toegeschreven aan wat is beschreven als een “aanhoudende” campagne voor het verzamelen van inloggegevens, gericht op gebruikers van UKR(.)net, een webmail- en nieuwsdienst die populair is in Oekraïne.
De activiteit, waargenomen door de Insikt Group van Recorded Future tussen juni 2024 en april 2025, bouwt voort op eerdere bevindingen van het cyberbeveiligingsbedrijf in mei 2024, waarin de aanvallen van de hackgroep op Europese netwerken met de HeadLace-malware en webpagina’s voor het verzamelen van inloggegevens gedetailleerd werden beschreven.
APT28 wordt ook gevolgd als BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy en TA422. Er wordt aangenomen dat het verbonden is aan het Russische hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU).
De nieuwste aanvallen worden gekenmerkt door de inzet van inlogpagina’s met UKR(.)net-thema op legitieme diensten zoals Mocky om ontvangers te verleiden hun inloggegevens en tweefactorauthenticatiecodes (2FA) in te voeren. Links naar deze pagina’s zijn ingesloten in PDF-documenten die via phishing-e-mails worden verspreid.
De links worden ingekort met behulp van diensten als tiny(.)cc of tinyurl(.)com. In sommige gevallen is ook waargenomen dat de bedreigingsacteur subdomeinen gebruikt die zijn gemaakt op platforms zoals Blogger (*.blogspot(.)com) om een tweeledige omleidingsketen te lanceren die naar de pagina voor het verzamelen van inloggegevens leidt.
De inspanningen maken deel uit van een bredere reeks phishing- en identiteitsdiefstaloperaties die sinds het midden van de jaren 2000 door de tegenstander worden georkestreerd en gericht zijn op overheidsinstellingen, defensie-aannemers, wapenleveranciers, logistieke bedrijven en beleidsdenktanks bij het nastreven van de strategische doelstellingen van Rusland.
“Hoewel deze campagne geen specifieke doelen onthult, biedt BlueDelta’s historische focus op diefstal van inloggegevens om het verzamelen van inlichtingen mogelijk te maken sterke indicatoren van de waarschijnlijke intentie om gevoelige informatie van Oekraïense gebruikers te verzamelen ter ondersteuning van bredere GRU-inlichtingenvereisten”, aldus het bedrijf dat eigendom is van Mastercard in een rapport gedeeld met The Hacker News.
Wat is veranderd, is de overgang van het gebruik van gecompromitteerde routers naar proxy-tunnelingdiensten zoals ngrok en Serveo om de gestolen inloggegevens en 2FA-codes vast te leggen en door te geven.
“BlueDelta’s voortdurende misbruik van gratis hosting en geanonimiseerde tunnelinfrastructuur weerspiegelt waarschijnlijk een adaptieve reactie op de door het Westen geleide infrastructuurverwijderingen begin 2024”, aldus Recorded Future. “De campagne benadrukt de aanhoudende interesse van de GRU in het compromitteren van Oekraïense gebruikersgegevens ter ondersteuning van inlichtingenvergaringsoperaties te midden van de aanhoudende oorlog van Rusland in Oekraïne.”
