Investigadores de ciberseguridad han descubierto una nueva operación de influencia dirigida a Ucrania que aprovecha los correos electrónicos no deseados para propagar desinformación relacionada con la guerra.
La empresa eslovaca de ciberseguridad ESET ha vinculado la actividad con actores de amenazas alineados con Rusia, que también identificó una campaña de phishing dirigido a una empresa de defensa ucraniana en octubre de 2023 y a una agencia de la Unión Europea en noviembre de 2023 con el objetivo de recopilar credenciales de inicio de sesión de Microsoft. utilizando páginas de destino falsas.
La Operación Texonto, como se ha denominado en clave a toda la campaña, no se ha atribuido a un actor de amenaza específico, aunque algunos elementos de la misma, en particular los ataques de phishing, se superponen con COLDRIVER, que tiene un historial de recopilación de credenciales mediante inicios de sesión falsos. páginas.
La operación de desinformación se llevó a cabo en dos oleadas en noviembre y diciembre de 2023, y los mensajes de correo electrónico incluían archivos adjuntos en PDF y contenido relacionado con interrupciones de la calefacción, escasez de medicamentos y escasez de alimentos.
La ola de noviembre se dirigió a no menos de unos pocos cientos de destinatarios en Ucrania, incluidos el gobierno, empresas de energía e individuos. Actualmente no se sabe cómo se creó la lista de objetivos.
«Lo que es interesante notar es que el correo electrónico fue enviado desde un dominio que se hace pasar por el Ministerio de Política Agraria y Alimentación de Ucrania, mientras que el contenido trata sobre la escasez de medicamentos y el PDF hace un mal uso del logotipo del Ministerio de Salud de Ucrania», ESET dicho en un informe compartido con The Hacker News.
«Posiblemente sea un error de los atacantes o, al menos, demuestra que no les importaron todos los detalles».
La segunda campaña de correo electrónico de desinformación que comenzó el 25 de diciembre de 2023 se destaca por expandir su alcance más allá de Ucrania para incluir hablantes de ucraniano en otras naciones europeas debido al hecho de que todos los mensajes están en ucraniano.
Estos mensajes, aunque deseaban a sus destinatarios unas felices fiestas, también adoptaron un tono más oscuro, llegando incluso a sugerir que se amputaran uno de sus brazos o piernas para evitar el despliegue militar. «¡Un par de minutos de dolor, pero luego una vida feliz!», dice el correo electrónico.
ESET dijo que uno de los dominios utilizados para propagar los correos electrónicos de phishing en diciembre de 2023, infonotificación[.]com, también se dedicó a enviar cientos de mensajes de spam a partir del 7 de enero de 2024, redirigiendo a las víctimas potenciales a un sitio web falso de una farmacia canadiense.
No está exactamente claro por qué este servidor de correo electrónico fue reutilizado para propagar una estafa de farmacia, pero se sospecha que los actores de la amenaza decidieron monetizar su infraestructura para obtener ganancias financieras después de darse cuenta de que sus dominios habían sido detectados por los defensores.
«La Operación Texonto muestra otro uso de la tecnología para intentar influir en la guerra», afirmó la empresa.
El desarrollo se produce cuando Meta, en su informe trimestral sobre amenazas adversas, dijo que eliminó tres redes en sus plataformas originarias de China, Myanmar y Ucrania que participaban en un comportamiento no auténtico coordinado (CIB).
Si bien ninguna de las redes era de Rusia, la firma de análisis de redes sociales Graphika dijo que los volúmenes de publicaciones en los medios controlados por el estado ruso han disminuido un 55% con respecto a los niveles de antes de la guerra y la participación se ha desplomado un 94% en comparación con hace dos años.
«Los medios de comunicación estatales rusos han aumentado su enfoque en contenido de información y entretenimiento no político y narrativas de autopromoción sobre Rusia desde el comienzo de la guerra», dice. dicho. «Esto podría reflejar un esfuerzo más amplio fuera de la plataforma para atender a las audiencias nacionales rusas después de que varios países occidentales bloquearon los medios en 2022».