Um grupo de cibercriminosos patrocinado pelo Estado russo, conhecido como APT28 ou BlueDelta, está por trás de uma nova série de ataques de roubo de credenciais. Esses ataques têm como alvo indivíduos ligados a uma agência turca de energia e pesquisa nuclear, bem como funcionários de um think tank europeu e organizações na Macedônia do Norte e no Uzbequistão. A APT28, associada à Diretoria Principal do Estado-Maior das Forças Armadas da Federação Russa (GRU), já havia realizado uma campanha semelhante no mês anterior, focando em usuários do UKR[.]net.
Os ataques, realizados em fevereiro e setembro de 2025, utilizaram páginas de login falsas que imitavam serviços populares como Microsoft Outlook Web Access (OWA), Google e portais VPN da Sophos. Após a inserção das credenciais, os usuários eram redirecionados para os sites legítimos, evitando suspeitas. Os cibercriminosos usaram serviços como Webhook[.]site, InfinityFree, Byet Internet Services e ngrok para hospedar as páginas de phishing e exfiltrar dados roubados.
Para aumentar a credibilidade, os atacantes usaram documentos em PDF legítimos como isca, incluindo uma publicação do Gulf Research Center sobre a guerra Irã-Israel de junho de 2025 e um briefing de política de julho de 2025 do think tank ECCO. O ataque começava com um e-mail de phishing contendo um link encurtado que redirecionava as vítimas para uma página falsa de login da Microsoft OWA, onde as credenciais eram coletadas e transmitidas para um endpoint do Webhook.
Além das campanhas mencionadas, a APT28 conduziu outras três operações: uma em junho de 2025, usando uma página falsa de redefinição de senha da Sophos VPN; outra em setembro de 2025, com páginas de aviso de senha expirada; e uma em abril de 2025, com uma página falsa de redefinição de senha do Google. Essas campanhas demonstram o uso contínuo de infraestruturas de serviços legítimos para hospedar e transmitir dados de credenciais.
Fonte:https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html
