Cybersecurity-onderzoekers hebben details onthuld van een actieve phishing-campagne die zich richt op een breed scala aan sectoren in Rusland met phishing-e-mails die Phantom Stealer leveren via kwaadaardige ISO optische schijfimages.
De activiteit, door Seqrite Labs met de codenaam Operation MoneyMount-ISO, richt zich vooral op financiële en boekhoudkundige entiteiten, waarbij die op het gebied van inkoop, juridische zaken en salarisadministratie als secundaire doelwitten naar voren komen.
“Deze campagne maakt gebruik van een valse betalingsbevestiging om de Phantom-malware voor het stelen van informatie af te leveren via een meerfasige bijlageketen”, aldus het cyberbeveiligingsbedrijf.
De infectieketen begint met een phishing-e-mail die zich voordoet als legitieme financiële communicatie, waarin de ontvangers worden aangespoord een recente bankoverboeking te bevestigen. Bijgevoegd bij de e-mail is een ZIP-archief dat beweert aanvullende details te bevatten, maar in plaats daarvan een ISO-bestand bevat dat, wanneer het wordt gestart, op het systeem wordt geactiveerd als een virtueel cd-station.
De ISO-image (“Подтверждение банковского перевода.iso” of “Bankoverschrijvingbevestiging.iso”) dient als uitvoerbaar bestand dat is ontworpen om Phantom Stealer te starten door middel van een ingesloten DLL (“CreativeAI.dll”).
Phantom Stealer kan gegevens extraheren uit browserextensies voor cryptocurrency-portemonnees die zijn geïnstalleerd in Chromium-gebaseerde browsers en desktop-wallet-apps, maar ook bestanden, Discord-authenticatietokens en browsergerelateerde wachtwoorden, cookies en creditcardgegevens ophalen.
Het bewaakt ook de inhoud van het klembord, registreert toetsaanslagen en voert een reeks controles uit om gevirtualiseerde, sandbox- of analyseomgevingen te detecteren, en als dat het geval is, wordt de uitvoering ervan afgebroken. Gegevensexfiltratie wordt bereikt via een Telegram-bot of via een door de aanvaller bestuurde Discord-webhook. Bovendien maakt de stealer bestandsoverdracht naar een FTP-server mogelijk.
De afgelopen maanden zijn Russische organisaties, vooral HR- en salarisafdelingen, ook het doelwit geweest van phishing-e-mails waarin lokmiddelen met betrekking tot bonussen of intern financieel beleid worden gebruikt om een voorheen ongedocumenteerd implantaat met de naam DUPERUNNER in te zetten dat AdaptixC2 laadt, een open-source command-and-control (C2) raamwerk.
De campagne, genaamd DupeHike, wordt toegeschreven aan een dreigingscluster met de naam UNG0902.
“De ZIP is gebruikt als een voorlopige bron van op spearphishing gebaseerde infecties met lokvogels met PDF- en LNK-extensie, die het implantaat DUPERUNNER downloaden, dat uiteindelijk de Adaptix C2 Beacon uitvoert”, aldus Seqrite.
Het LNK-bestand (“Документ_1_О_размере_годовой_премии.pdf.lnk” of “Document_1_On_the_amount_of_the_annual_bonus.pdf.lnk”) downloadt op zijn beurt DUPERUNNER van een externe server met behulp van “powershell.exe.” De primaire verantwoordelijkheid van het implantaat is het ophalen en weergeven van een lok-PDF en het starten van AdaptixC2 door deze in een legitiem Windows-proces zoals “explorer.exe”, “notepad.exe” en “msedge.exe” te injecteren.
Andere phishing-campagnes hebben zich gericht op de financiële, juridische en ruimtevaartsector in Rusland om Cobalt Strike en kwaadaardige tools zoals Formbook, DarkWatchman en PhantomRemote te verspreiden die in staat zijn tot gegevensdiefstal en praktische toetsenbordbediening. Voor het verzenden van spearphishing-berichten worden de e-mailservers van gecompromitteerde Russische bedrijven gebruikt.
Het Franse cyberbeveiligingsbedrijf Intrinsec heeft de inbraak die zich richt op de Russische lucht- en ruimtevaartindustrie toegeschreven aan hacktivisten die zich aansluiten bij de Oekraïense belangen. De activiteit, gedetecteerd tussen juni en september 2025, vertoont overlap met Hive0117, Operatie CargoTalon en Rainbow Hyena (ook bekend als Fairy Trickster, Head Mare en PhantomCore).
Sommige van deze inspanningen blijken ook gebruikers om te leiden naar phishing-inlogpagina’s die worden gehost op het InterPlanetary File System (IPFS) en Vercel, ontworpen om inloggegevens te stelen die verband houden met Microsoft Outlook en Bureau 1440, een Russisch ruimtevaartbedrijf.
“De campagnes die tussen juni en september 2025 werden waargenomen (…) waren gericht op het compromitteren van entiteiten die actief samenwerken met het Russische leger te midden van het huidige conflict met Oekraïne, grotendeels beoordeeld door de westerse sancties die aan hen zijn opgelegd”, aldus Intrinsec.
