De Rusland-uitgelijnde dreigingsacteur bekend als TAG-110 is waargenomen bij het voeren van een speer-phishing-campagne gericht op Tadzjikistan met behulp van macro-compatibele woordsjablonen als een initiële lading.
De aanvalsketen is een afwijking van het eerder gedocumenteerde gebruik van de dreigingsacteur van een HTML -applicatie (.HTA) lader genaamd Hatvibe, zei in een analyse van de Future’s Insikt Group.
“Gezien de historische targeting van TAG-110 van entiteiten in de publieke sector in Centraal-Azië, is deze campagne waarschijnlijk gericht op overheids-, educatieve en onderzoeksinstellingen binnen Tadzjikistan,” merkte het Cybersecurity Company op.
“Deze cyberspionage -operaties zijn waarschijnlijk gericht op het verzamelen van intelligentie voor het beïnvloeden van regionale politiek of veiligheid, met name tijdens gevoelige gebeurtenissen zoals verkiezingen of geopolitieke spanningen.”
TAG-110, ook wel UAC-0063 genoemd, is de naam toegewezen aan een dreigingsactiviteitengroep die bekend staat om zijn targeting van Europese ambassades, evenals andere organisaties in Centraal-Azië, Oost-Azië en Europa. Er wordt aangenomen dat het althans sinds 2021 actief is.
Beoordeling met het delen van overlappingen met de Russische natiestaat Hacking Crew APT28, werden activiteiten geassocieerd met de dreigingsacteur voor het eerst gedocumenteerd door de Roemeense cybersecuritybedrijf Bitdefender in mei 2023 in verband met een campagne die een malware-codeamed downex (aka stillarch) richtte op overheidsentiteiten in Kazachstan en Afghanistan.
Het was echter het Computer Emergency Response Team van Oekraïne (CERC-UA) dat de naam UAC-0063 formeel diezelfde maand heeft toegewezen nadat het cyberaanvallen had ontdekt die zich richten op staats lichamen in het land met behulp van malware-stammen zoals Logpie, CherrySpy (aka downexper), Downex en Pyplunderplug.
De nieuwste campagne gericht op Tadzjikistan-organisaties, waargenomen vanaf januari 2025, toont een verschuiving van Hatvibe, gedistribueerd via HTA-ingebedde speer-phishing-bijlagen, ten gunste van macro-compatibele woordsjabloon (.DOTM) -bestanden, die een evolutie van hun tactieken onderstrepen.
“Eerder leveraged macro-compatibele Word-documenten voor TAG-110 om Hatvibe, een op HTA gebaseerde malware, te leveren voor initiële toegang,” zei Future Recorded Future. “De nieuw gedetecteerde documenten bevatten niet de ingesloten HTA Hatvibe -payload voor het maken van een geplande taak en gebruik in plaats daarvan een globaal sjabloonbestand dat in de map Word Startup voor persistentie wordt geplaatst.”
De phishing-e-mails zijn gevonden om documenten met de Tadzjikistan-thema te gebruiken als kunststofmateriaal, dat aansluit bij het historische gebruik van getrowaniseerde legitieme overheidsdocumenten als een malware-leveringsvector. Het Cybersecurity Company zei echter dat het de authenticiteit van deze documenten niet onafhankelijk kon verifiëren.
Presenteer met de bestanden is een VBA-macro die verantwoordelijk is voor het plaatsen van de documentsjabloon in de Microsoft Word Startup-map voor automatische uitvoering en vervolgens het initiëren van communicatie met een command-and-control (C2) -server en mogelijk extra VBA-code uitvoert met C2-antwoorden. De exacte aard van de tweede fase payloads is niet bekend.
“Op basis van de historische activiteit en toolset van TAG-110 is het echter waarschijnlijk dat succesvolle initiële toegang via de macro-compatibele sjablonen zou resulteren in de implementatie van extra malware, zoals Hatvibe, CherrySpy, Logpie of mogelijk een nieuwe, op maat gemaakte payload ontworpen voor spionage-operaties,” zei het bedrijf.
