O botnet, denominado MooBot, teria sido utilizado por um ator de ameaça vinculado à Rússia, conhecido como APT28, para facilitar operações cibernéticas ocultas e implantar malware personalizado para exploração subsequente. APT28, afiliado à Diretoria Principal do Estado-Maior Geral da Rússia (GRU), é conhecido por estar ativo desde pelo menos 2007.

Os atores do APT28 “usaram EdgeRouters comprometidos globalmente para colher credenciais, coletar resumos NTLMv2, fazer proxy de tráfego de rede e hospedar páginas de destino de spear-phishing e ferramentas personalizadas”, disseram as autoridades.

Os ataques do MooBot envolvem o direcionamento de roteadores com credenciais padrão ou fracas para implantar trojans OpenSSH, com o APT28 adquirindo esse acesso para entregar scripts bash e outros binários ELF para coletar credenciais, fazer proxy de tráfego de rede, hospedar páginas de phishing e outras ferramentas.

Isso inclui scripts Python para fazer upload de credenciais de contas pertencentes a usuários de webmail especificamente visados, coletadas por meio de campanhas de spear-phishing cross-site scripting e browser-in-the-browser (BitB). “Com acesso root a Ubiquiti EdgeRouters comprometidos, os atores do APT28 têm acesso irrestrito a sistemas operacionais baseados em Linux para instalar ferramentas e para obfuscar sua identidade enquanto conduzem campanhas maliciosas”, observaram os pesquisadores.