Um grupo de cibercriminosos ligados à Rússia, conhecido como APT28, está sendo associado a uma nova campanha que utiliza a venda de carros como isca de phishing para entregar um backdoor modular para Windows chamado HeadLace.

De acordo com um relatório publicado pela Palo Alto Networks, a campanha teve como alvo diplomatas e começou em março de 2024. O APT28, também conhecido por diversos outros nomes como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, e TA422, foi identificado como o provável responsável pela ação, com nível de confiança de médio a alto.

O uso de temas de phishing relacionados à venda de carros já foi observado anteriormente por outro grupo de espionagem russo, o APT29, desde julho de 2023. Isso sugere que o APT28 pode estar reutilizando táticas eficazes em suas próprias campanhas. Em maio deste ano, o APT28 foi associado a uma série de campanhas que tinham como alvo redes em toda a Europa, utilizando o malware HeadLace e páginas de coleta de credenciais.

As operações são caracterizadas pelo uso de um serviço legítimo conhecido como webhook[.]site, um recurso comum nas operações cibernéticas do APT28, juntamente com Mocky, para hospedar uma página HTML maliciosa. Esta página verifica se o sistema alvo está operando em Windows e, se confirmado, oferece para download um arquivo ZIP (“IMG-387470302099.zip”). Caso o sistema não seja baseado em Windows, o ataque redireciona para uma imagem de disfarce hospedada no ImgBB, especificamente de um SUV Audi Q7 Quattro.