Descubierta misión de espionaje ruso para desestabilizar el reclutamiento en Ucrania gracias a Google TAG.
Mensajes en contra del reclutamiento atraen a posibles reclutas para que descarguen malware camuflado como una aplicación de mapeo colaborativo.
El grupo de Análisis de Amenazas de Google (TAG), en colaboración con Mandiant, ha desvelado datos sobre lo que se presume es una campaña de espionaje e influencia originaria de Rusia, destinada a desmotivar a los soldados ucranianos y a infectar sus dispositivos con malware. Esta operación, catalogada como UNC5812, se ha presentado bajo el disfraz de un grupo anti-conscripción denominado ‘Defensa Civil’, el cual ofrece aplicaciones y software que, supuestamente, permiten a los reclutas potenciales ver en tiempo real las ubicaciones de los reclutadores de las fuerzas armadas de Ucrania.
Sin embargo, las aplicaciones proporcionadas en realidad introducían malware, en lugar de la software de mapeo prometida. Este esfuerzo malicioso ha sido observado por Google TAG y Mandiant, quienes han identificado esta aplicación como SUNSPINNER.
Según el informe, el objetivo principal de la campaña era que los usuarios accedieran al sitio web controlado por UNC5812, donde se publicitaban distintos programas de software para varios sistemas operativos. Al instalar estos programas, los usuarios resultaban infectados con diferentes familias de malware de tipo commodity. El sitio de Defensa Civil se fundó en abril de 2024, aunque su cuenta en Telegram, que dirigía un alto volumen de usuarios hacia el sitio, solo se había creado en septiembre de 2024.
Se entiende que el grupo pagó por publicaciones patrocinadas en populares grupos de Telegram, uno de los cuales, tenía 80,000 suscriptores y enviaba alertas sobre misiles. Cuando los usuarios eran redirigidos a la web, se les ofrecía opciones de archivos para diferentes sistemas operativos, que ellos esperaban que fueran alguna forma de software de mapeo para actualizaciones en tiempo real. En cambio, terminaban con dispositivos infectados por el malware SUNSPINNER y programas de robo de información.
El sitio justificaba la falta de disponibilidad de las aplicaciones en la App Store, afirmando que la descarga a través de su web “protegería el anonimato y la seguridad” de los usuarios. Además, incluía videos instructivos sobre cómo instalar las aplicaciones y cómo desactivar la protección de Google Play.
La página de Telegram de Defensa Civil también solicitaba a los usuarios que enviaran videos de “actos injustos por parte de los centros de reclutamiento territorial”, lo cual se utilizaba para reforzar su mensaje anti-conscripción y potencialmente atraer más descargas de la aplicación de monitoreo de reclutamiento militar.
La aplicación SUNSPINNER presentaba una interfaz gráfica de usuario engañosa que mostraba una herramienta de mapeo con marcadores de ubicación crowdsourced para los reclutadores ucranianos. No obstante, las investigaciones de Google TAG y Mandiant revelaron que todos los marcadores habían sido añadidos por una sola persona en un único día.
Se informa que la campaña de malware e influencia sigue activa, con publicaciones patrocinadas del grupo apareciendo en un canal de noticias ucraniano tan reciente como el 8 de octubre.