Hackers russos usam senhas de aplicativo do Google para invadir e-mails de críticos da Rússia

Hackers russos estão explorando um recurso legítimo do Google chamado senhas específicas de aplicativos (ASPs) em uma nova e sofisticada campanha de engenharia social que visa acessar caixas de e-mail de críticos proeminentes do regime russo. A operação, detalhada pelo Google Threat Intelligence Group (GTIG) em colaboração com o Citizen Lab, teve como alvo acadêmicos e dissidentes entre abril e junho de 2025, por meio de uma abordagem sutil e altamente personalizada.

Segundo os pesquisadores, os invasores — identificados como o grupo UNC6293, com fortes indícios de afiliação ao notório grupo hacker APT29 (também conhecido como Cozy Bear ou Midnight Blizzard) — não utilizam e-mails alarmistas ou urgentes. Ao invés disso, constroem um relacionamento com suas vítimas ao longo de semanas, utilizando e-mails aparentemente legítimos com convites para reuniões e endereços falsos "@state.gov" para passar credibilidade. O objetivo final é convencer o alvo a criar uma senha de aplicativo do Google e compartilhá-la, sob o pretexto de permitir acesso a um ambiente seguro do Departamento de Estado.

Essa senha, normalmente usada para permitir que aplicativos menos seguros acessem contas protegidas com autenticação de dois fatores (2FA), concede acesso direto à caixa de e-mail da vítima. Após obtê-la, os hackers configuram um cliente de e-mail que permite leitura contínua e sigilosa das mensagens. A tática se destaca pela criatividade e precisão, utilizando infraestrutura de e-mail e manipulações comportamentais sofisticadas para contornar mecanismos de segurança.

Além dessa campanha, o Google identificou uma operação paralela com temática ucraniana, em que os hackers usaram servidores VPS e proxies residenciais para mascarar sua localização. A Microsoft, por sua vez, também revelou ataques similares atribuídos ao APT29, incluindo phishing com códigos OAuth gerados pela própria Microsoft e técnicas de "associação de dispositivos" para comprometer contas corporativas do Microsoft 365. Esses métodos demonstram uma evolução contínua nas estratégias dos grupos hackers ligados ao governo russo, que agora combinam engenharia social, abuso de recursos legítimos e infraestrutura avançada para obter acesso persistente a informações sensíveis.