Uma campanha de espionagem cibernética até então desconhecida tem como alvo militares russos por meio de perfis falsos de mulheres interessadas em relacionamentos amorosos. A operação, identificada pela empresa russa de segurança F6 e atribuída a um grupo batizado de SiribClone, utiliza engenharia social, sites falsos e malwares inéditos para comprometer smartphones, computadores e contas do Telegram de integrantes das Forças Armadas da Rússia.

Segundo os pesquisadores, a atividade está em andamento desde pelo menos o verão de 2025 e concentra seus esforços em soldados posicionados em regiões de fronteira e zonas de combate. O objetivo aparente é coletar inteligência militar diretamente do campo de batalha, obtendo acesso a documentos, comunicações, localização geográfica e outras informações sensíveis relacionadas às operações militares russas.

A campanha começa com abordagens realizadas por meio do Telegram e de outros aplicativos de mensagens. Os operadores se apresentam como mulheres em busca de relacionamentos ou como voluntárias oferecendo ajuda humanitária aos militares. Após estabelecer contato com as vítimas, os invasores tentam convencê-las a instalar aplicativos maliciosos ou inserir credenciais do Telegram em páginas fraudulentas.

Os pesquisadores identificaram diferentes estratégias de convencimento. Em alguns casos, os criminosos afirmavam ter desenvolvido um novo aplicativo e solicitavam testes por parte dos militares. Em outros, propunham a troca de fotografias íntimas utilizando uma suposta plataforma segura de compartilhamento de imagens.

Na prática, o aplicativo instalado continha um spyware para Android até então desconhecido, denominado SafeLoveStealer. De acordo com a análise, o malware é capaz de roubar fotografias, vídeos, documentos, dados de localização e outras informações armazenadas nos dispositivos comprometidos. Além disso, ele permite que os operadores ativem remotamente o microfone do aparelho para capturar conversas e sons do ambiente.

Além do spyware móvel, o grupo também mantém uma infraestrutura de phishing composta por páginas falsas que imitam telas de login do Telegram, convites para comunidades da plataforma, portais de exames médicos e outros serviços online. As vítimas são induzidas a informar número de telefone, código de verificação do Telegram e senha de autenticação em dois fatores, permitindo que os invasores assumam o controle das contas e monitorem as comunicações em tempo real.

A investigação também revelou a existência de um malware voltado para computadores desktop, chamado SiribGrabber. Diferentemente do SafeLoveStealer, sua principal função é o roubo de arquivos armazenados nos sistemas infectados.

Os pesquisadores observaram uma campanha ativa entre janeiro e fevereiro deste ano, quando arquivos ZIP disfarçados de documentos militares foram distribuídos às vítimas. Após alguns meses sem atividade aparente, o grupo voltou a operar em maio utilizando uma nova infraestrutura baseada em um site temático relacionado às comemorações do Dia da Vitória da Rússia.

Outro elemento relevante descoberto durante a investigação foi uma plataforma interna de gerenciamento utilizada pelos operadores da campanha, chamada Kontur. O sistema armazena sessões roubadas do Telegram e permite que os invasores consultem mensagens interceptadas. Anotações encontradas na plataforma faziam referência a patentes militares, unidades das forças armadas, localizações geográficas e status operacionais, reforçando a hipótese de que a campanha possui objetivos voltados principalmente para espionagem militar.

De acordo com a F6, as operações do SiribClone possuem dois focos principais: coletar informações técnicas, geográficas e pessoais dos dispositivos comprometidos e manter acesso persistente às contas de Telegram das vítimas para monitorar comunicações estratégicas por longos períodos.

Embora a campanha apresente características típicas de operações de inteligência cibernética, os pesquisadores afirmam que ainda não foi possível atribuir a atividade a nenhum país específico ou a grupos de ameaça já conhecidos.