Er is een voorheen onbekend cluster van dreigingsactiviteiten waargenomen dat zich voordoet als het Slowaakse cyberbeveiligingsbedrijf ESET als onderdeel van phishing-aanvallen gericht op Oekraïense entiteiten.
De campagne, ontdekt in mei 2025, wordt onder de naam gevolgd door de beveiligingseenheid OneetbaarOchotenseen beschrijft het als Rusland-gebonden.
“InedibleOchotense stuurde spear-phishing-e-mails en Signal-sms-berichten, met een link naar een trojan-installatieprogramma van ESET, naar meerdere Oekraïense entiteiten”, aldus ESET in zijn APT-activiteitenrapport Q2 2025–Q3 2025, gedeeld met The Hacker News.
Er wordt aangenomen dat InedibleOchotense tactische overlappingen deelt met een door EclecticIQ gedocumenteerde campagne die de inzet van een achterdeur met de naam BACKORDER en door CERT-UA als UAC-0212 omvatte, die het beschrijft als een subcluster binnen de Sandworm (ook bekend als APT44) hackgroep.
Hoewel het e-mailbericht in het Oekraïens is geschreven, zegt ESET dat de eerste regel een Russisch woord gebruikt, wat waarschijnlijk duidt op een typefout of een vertaalfout. De e-mail, die afkomstig lijkt te zijn van ESET, beweert dat het monitoringteam een verdacht proces heeft gedetecteerd dat verband houdt met hun e-mailadres en dat hun computers mogelijk gevaar lopen.
De activiteit is een poging om te profiteren van het wijdverbreide gebruik van ESET-software in het land en de merkreputatie ervan om ontvangers te misleiden om kwaadaardige installatieprogramma’s te installeren die worden gehost op domeinen zoals esetsmart(.)com, esetscanner(.)com en esetremover(.)com.
Het installatieprogramma is ontworpen om de legitieme ESET AV Remover te leveren, naast een variant van een C#-backdoor genaamd Kalambur (ook bekend als SUMBUR), die het Tor-anonimiteitsnetwerk gebruikt voor commando-en-controle. Het is ook in staat om OpenSSH te laten vallen en externe toegang mogelijk te maken via het Remote Desktop Protocol (RDP) op poort 3389.
Het is vermeldenswaard dat CERT-UA in een vorige maand gepubliceerd rapport een vrijwel identieke campagne toeschreef aan UAC-0125, een ander subcluster binnen Sandworm.
Aanvallen op zandwormwissers in Oekraïne
Sandworm is volgens ESET doorgegaan met het opzetten van destructieve campagnes in Oekraïne, waarbij in april 2025 twee wiper-malware werd gelanceerd, gevolgd als ZEROLOT en Sting, gericht op een niet nader genoemde universiteit, gevolgd door de inzet van meerdere malwarevarianten voor het wissen van gegevens, gericht op de overheid, energie, logistiek en graansectoren.
“Gedurende deze periode hebben we waargenomen en bevestigd dat de UAC-0099-groep initiële toegangsoperaties heeft uitgevoerd en vervolgens gevalideerde doelen heeft overgedragen aan Sandworm voor vervolgactiviteiten”, aldus het bedrijf. “Deze destructieve aanvallen door Sandworm herinneren ons eraan dat ruitenwissers een veelgebruikt instrument blijven van aan Rusland gelieerde dreigingsactoren in Oekraïne.”
RomCom maakt gebruik van WinRAR 0-Day in aanvallen
Een andere aan Rusland verbonden bedreigingsactoren die in de loop van de periode actief zijn geweest, zijn RomCom (ook bekend als Storm-0978, Tropical Scorpius, UNC2596 of Void Rabisu), die medio juli 2025 spearphishing-campagnes lanceerden die een WinRAR-kwetsbaarheid als wapen gebruikten (CVE-2025-8088, CVSS-score: 8,8) als onderdeel van aanvallen gericht op financiële, productie-, defensie- en logistieke bedrijven in Europa en Canada.
“Succesvolle exploitatiepogingen leverden verschillende achterdeurtjes op die door de RomCom-groep werden gebruikt, met name een SnipBot-variant (ook bekend als SingleCamper of RomCom RAT 5.0), RustyClaw en een Mythic-agent”, aldus ESET.
In een gedetailleerd profiel van RomCom eind september 2025 typeerde AttackIQ de hackgroep als iemand die de geopolitieke ontwikkelingen rond de oorlog in Oekraïne nauwlettend in de gaten hield en deze gebruikte om activiteiten voor het verzamelen van gegevens en gegevensexfiltratie uit te voeren, waarschijnlijk ter ondersteuning van Russische doelstellingen.
“RomCom werd aanvankelijk ontwikkeld als een commodity-malware voor e-crime, ontworpen om de inzet en persistentie van kwaadaardige ladingen te vergemakkelijken, waardoor de integratie ervan in prominente en op afpersing gerichte ransomware-operaties mogelijk werd”, aldus beveiligingsonderzoeker Francis Guibernau. “RomCom is van een puur winstgedreven product overgegaan naar een nutsbedrijf dat wordt ingezet voor nationale operaties.”
