Uma nova campanha de ciberespionagem está atingindo hospitais, serviços de emergência e órgãos governamentais locais na Ucrânia, evidenciando a crescente pressão digital sobre infraestruturas críticas em meio ao cenário geopolítico atual. De acordo com o CERT-UA (time de resposta a incidentes do país), os ataques são conduzidos por um grupo identificado como UAC-0247, que tem intensificado suas operações nas últimas semanas utilizando um conjunto avançado de malwares, com destaque para o AgingFly.

A operação tem como principal objetivo o roubo de informações sensíveis, mas também inclui atividades secundárias de monetização, como mineração de criptomoedas, demonstrando uma abordagem híbrida que combina espionagem e cibercrime.

Cadeia de ataque: engenharia social, múltiplos malwares e controle remoto

Os ataques começam com campanhas de phishing cuidadosamente elaboradas. Os hackers enviam e-mails se passando por discussões relacionadas a propostas de ajuda humanitária — um tema sensível e plausível no contexto da guerra — induzindo as vítimas a clicar em links maliciosos.

Esses links direcionam para o download de arquivos compactados contendo cargas maliciosas. Para aumentar a credibilidade, os invasores chegam a criar sites falsos de organizações, possivelmente gerados com auxílio de inteligência artificial, ou até comprometem sites legítimos para hospedar scripts maliciosos.

Uma vez executado, o arquivo instala múltiplos componentes maliciosos:

• AgingFly: principal ferramenta de controle remoto (RAT), permite execução de comandos, captura de tela, registro de teclas (keylogging) e download de arquivos

• SilentLoop: utilizado para comunicação com servidores de comando e controle (C2), com obtenção dinâmica de endereços via Telegram

• ChromeElevator: voltado para extração de credenciais armazenadas em navegadores

• ZapixDesk: ferramenta para coleta de dados de contas do WhatsApp

Essa combinação evidencia uma estratégia modular, onde diferentes ferramentas são utilizadas para funções específicas dentro da operação, desde acesso inicial até exfiltração de dados.

Espionagem com múltiplos vetores de coleta de dados

Após comprometer os sistemas, os hackers ampliam o escopo da operação para coletar o máximo de informações possível. Isso inclui:

• Credenciais de autenticação armazenadas em navegadores

• Dados de aplicativos de comunicação, como WhatsApp

• Informações sensíveis armazenadas localmente

• Monitoramento da atividade do usuário via captura de tela e keylogging

Em alguns casos, também foi identificado o uso do XMRig, uma ferramenta legítima de mineração de criptomoedas, indicando que os invasores aproveitam os recursos computacionais das vítimas para gerar lucro adicional.

Expansão da campanha: drones, forças armadas e Signal

A campanha não se limita a hospitais e órgãos civis. O CERT-UA alertou que membros das forças de defesa da Ucrânia também podem ser alvo. Um dos vetores identificados envolveu o envio de um suposto pacote de software atualizado para operadores de drones via Signal.

Na prática, o arquivo continha malware que instalava o AgingFly, ampliando o risco de comprometimento de operações militares e coleta de informações estratégicas.

Conexão com outras campanhas e grupos hackers

Paralelamente, outra operação de espionagem atribuída ao grupo APT28 — também conhecido como Fancy Bear, BlueDelta ou Forest Blizzard — comprometeu mais de 170 contas de e-mail de promotores, investigadores e alvos em países da OTAN e dos Bálcãs.

Segundo análises conduzidas pela Ctrl-Alt-Intel, o objetivo desses ataques pode estar relacionado ao monitoramento de investigações sobre espionagem russa ou à coleta de informações sensíveis de autoridades ucranianas.

Esse cenário reforça uma tendência clara: campanhas coordenadas de ciberespionagem, com múltiplos grupos atuando simultaneamente e utilizando técnicas avançadas para coleta de inteligência.

Tendência: guerra híbrida e ataques direcionados à infraestrutura crítica

O caso ilustra a evolução da guerra cibernética moderna, onde ataques digitais são utilizados como extensão direta de conflitos geopolíticos. Hospitais, serviços de emergência e órgãos públicos tornam-se alvos estratégicos não apenas pelo valor dos dados, mas também pelo impacto operacional e psicológico que um ataque pode causar.

Além disso, o uso de temas como ajuda humanitária e ferramentas militares (como softwares de drones) demonstra um alto nível de adaptação dos hackers ao contexto local, aumentando significativamente a taxa de sucesso das campanhas.