FACCT Siber Güvenlik Merkezi’nden (eski adıyla Rusya’da Group-IB) uzmanlar, XDSpy siber casus grubu tarafından gönderilen yeni bir kötü amaçlı kimlik avı e-postaları dalgası keşfettiler. Posta, tanınmış araştırma enstitülerinden biri de dahil olmak üzere Rus kuruluşlarına yöneliktir.
Mektubun metninde, alıcılardan “Rusya’daki iç durumu istikrarsızlaştıran gruplara sempati duyabilecek” şirket çalışanlarının listesine bakmaları isteniyor. Mektubu gönderenler, yanıt alınmazsa çalışanlar hakkında yasal işlem başlatılacağı tehdidinde bulunuyor.
Rastgele kişilerin listesini içeren Spisok_rabotnikov.pdf yem dosyası kisvesi altında, kurbanın bilgisayarından veri ve belgeler toplayan kötü amaçlı bir program indirilir.
XDSpy daha önce de benzer teknikler kullanmıştı: Mart ayı ortasında siber casuslar Rusya Dışişleri Bakanlığı yapılarına saldırdı ve Ekim 2022’de Rus kuruluşları Savunma Bakanlığı adına sahte mahkeme celbi düzenledi.
Rusya ve Beyaz Rusya’daki kuruluşlara saldıran XDSpy grubu ilk kez Şubat 2020’de Belarus CERT tarafından keşfedildi, ancak uzmanlar grubun kendisinin en az 2011’den beri aktif olduğuna inanıyor. XDSpy’nin uzun geçmişine rağmen, uluslararası uzmanlar bu grubun hangi ülkenin çıkarları doğrultusunda çalıştığına henüz karar vermiş değil. Grubun hedeflerinin çoğu Rusya’da bulunuyor – bunlar hükümet, ordu, finans kurumları ve ayrıca enerji, araştırma ve madencilik şirketleri.