Um grupo de cibercriminosos patrocinado pelo Estado russo, conhecido como APT28 ou BlueDelta, está por trás de uma nova série de ataques de roubo de credenciais. Os alvos incluem indivíduos ligados a uma agência turca de energia e pesquisa nuclear, além de funcionários de um think tank europeu e organizações na Macedônia do Norte e Uzbequistão.
Os ataques, atribuídos ao APT28, visaram um conjunto específico de vítimas em fevereiro e setembro de 2025. A estratégia envolveu páginas de login falsas que imitavam serviços populares como Microsoft Outlook Web Access, Google e portais VPN da Sophos. Após a inserção das credenciais nas páginas fraudulentas, os usuários eram redirecionados para os sites legítimos, evitando suspeitas.
Os criminosos utilizaram serviços como Webhook.site, InfinityFree, Byet Internet Services e ngrok para hospedar páginas de phishing e exfiltrar dados roubados. Documentos PDF legítimos, como uma publicação do Gulf Research Center sobre a guerra Irã-Israel de junho de 2025, foram usados como iscas para aumentar a credibilidade dos ataques.
O APT28 também conduziu outras campanhas em 2025. Em junho, uma página falsa de redefinição de senha da Sophos VPN foi usada para coletar credenciais de um think tank da UE. Em setembro, páginas de phishing alertavam falsamente sobre senhas expiradas, redirecionando vítimas para um portal militar legítimo na Macedônia do Norte. Em abril, uma página falsa de redefinição de senha do Google, hospedada pela Byet Internet Services, foi usada para roubar credenciais e enviá-las para uma URL do ngrok.
Essas campanhas refletem o compromisso contínuo do GRU com o roubo de credenciais, uma estratégia de baixo custo e alto rendimento que apoia os objetivos de inteligência russos. A utilização de infraestrutura legítima da internet demonstra a dependência do grupo em serviços descartáveis para hospedar e transmitir dados de credenciais.
Fonte:https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html
