Door de Russische staat gesponsorde dreigingsactoren zijn in verband gebracht met een nieuwe reeks aanvallen op het verzamelen van gegevens, gericht op individuen die verbonden zijn aan een Turks energie- en nucleair onderzoeksbureau, evenals op personeel dat verbonden is aan een Europese denktank en organisaties in Noord-Macedonië en Oezbekistan.
De activiteit is toegeschreven aan APT28 (ook bekend als BlueDelta), die werd toegeschreven aan een “aanhoudende” campagne voor het verzamelen van inloggegevens, gericht op gebruikers van UKR(.)net vorige maand. APT28 is geassocieerd met het hoofddirectoraat van de generale staf van de strijdkrachten van de Russische Federatie (GRU).
“Het gebruik van Turkstalig en regionaal gericht lokmateriaal suggereert dat BlueDelta de inhoud heeft aangepast om de geloofwaardigheid onder een specifiek professioneel en geografisch publiek te vergroten”, aldus de Insikt Group van Recorded Future. “Deze selecties weerspiegelen een aanhoudende interesse in organisaties die verbonden zijn met energieonderzoek, defensiesamenwerking en overheidscommunicatienetwerken die relevant zijn voor de Russische inlichtingenprioriteiten.”
Het cyberbeveiligingsbedrijf beschreef de aanvallen als gericht op een kleine maar duidelijke groep slachtoffers in februari en september 2025, waarbij de campagne gebruik maakte van valse inlogpagina’s die waren vormgegeven om te lijken op populaire diensten zoals Microsoft Outlook Web Access (OWA), Google en Sophos VPN-portals.
De inspanningen zijn opmerkelijk vanwege het feit dat nietsvermoedende gebruikers worden doorgestuurd naar de legitieme sites nadat de inloggegevens op de valse landingspagina’s zijn ingevoerd, waardoor er geen waarschuwingssignalen worden gegenereerd. Er is ook gebleken dat de campagnes sterk leunen op diensten als Webhook(.)site, InfinityFree, Byet Internet Services en ngrok om de phishing-pagina’s te hosten, gestolen gegevens te exfiltreren en omleidingen mogelijk te maken.
In een verdere poging om hen een laagje legitimiteit te verlenen, zouden de bedreigingsactoren gebruik hebben gemaakt van legitieme pdf-documenten, waaronder een publicatie van het Gulf Research Center met betrekking tot de oorlog tussen Iran en Israël van juni 2025 en een beleidsbriefing uit juli 2025 waarin werd opgeroepen tot een nieuw pact voor de Middellandse Zee, uitgegeven door de klimaatveranderingsdenktank ECCO.
De aanvalsketen begint met een phishing-e-mail met een verkorte link die, wanneer erop wordt geklikt, slachtoffers doorstuurt naar een andere link die wordt gehost op de webhook(.)-site, die het lokdocument ongeveer twee seconden kort weergeeft voordat wordt omgeleid naar een tweede webhook(.)-site die een vervalste Microsoft OWA-inlogpagina host.
Op deze pagina is een verborgen HTML-formulierelement aanwezig dat de webhook(.)site-URL opslaat en JavaScript gebruikt om een
“pagina geopend” baken, verzend de ingediende inloggegevens naar het webhookeindpunt en stuur uiteindelijk terug naar de PDF die op de daadwerkelijke website wordt gehost.
Er is ook waargenomen dat APT28 drie andere campagnes voerde:
- Een campagne uit juni 2025 waarbij een pagina voor het verzamelen van inloggegevens werd ingezet die een Sophos VPN-pagina voor het opnieuw instellen van wachtwoorden nabootste, gehost op de infrastructuur van InfinityFree, om de in het formulier ingevoerde inloggegevens te verzamelen en slachtoffers door te sturen naar een legitiem Sophos VPN-portaal van een niet nader genoemde EU-denktank
- Een campagne uit september 2025 waarbij gebruik werd gemaakt van pagina’s voor het verzamelen van inloggegevens die werden gehost op InfinityFree-domeinen om gebruikers valselijk te waarschuwen voor verlopen wachtwoorden om hen te misleiden hun inloggegevens in te voeren en om te leiden naar een legitieme inlogpagina die is gekoppeld aan een militaire organisatie in de Republiek Noord-Macedonië en een IT-integrator gevestigd in Oezbekistan
- Een campagne uit april 2025 waarbij een valse Google-pagina voor het opnieuw instellen van wachtwoorden werd gebruikt, gehost op Byet Internet Services, om de inloggegevens van slachtoffers te verzamelen en deze naar een ngrok-URL te exfiltreren
“BlueDelta’s voortdurende misbruik van de legitieme internetinfrastructuur toont aan dat de groep voortdurend afhankelijk is van wegwerpdiensten voor het hosten en doorgeven van inloggegevens”, aldus het bedrijf dat eigendom is van Mastercard. “Deze campagnes onderstrepen de aanhoudende toewijding van de GRU aan het verzamelen van inloggegevens als een goedkope, hoogrenderende methode voor het verzamelen van informatie die de doelstellingen van de Russische inlichtingendienst ondersteunt.”
