Um grupo de espionagem russo, identificado como UNC5812, está realizando ataques cibernéticos contra militares ucranianos, distribuindo malware via um canal no Telegram e um site associado, segundo especialistas em cibersegurança. A operação usa o canal Civil Defense para atrair vítimas, oferecendo supostos aplicativos gratuitos que permitiriam conscritos monitorar recrutadores militares ucranianos. Contudo, ao instalar esses programas, os usuários acabam baixando malware para sistemas Windows e Android.

No Android, o app falso solicita que os usuários desativem o Google Play Protect, instalando um trojan de acesso remoto, o CraxsRAT, que permite controle remoto do dispositivo, gravação de chamadas, monitoramento de tela e ativação de câmeras e microfones.

Para Windows, o site oferece um arquivo ZIP com o malware Pronsis, que baixa o SUNSPINNER, um app de mapa falso controlado pelos invasores, além do PureStealer, um programa de roubo de dados vendido no mercado negro.

Embora o site mencione suporte para macOS e iPhones, apenas os malwares para Windows e Android estavam ativos. Para justificar o app fora das lojas oficiais, o site alega ser uma medida de “proteção da privacidade” dos usuários, oferecendo instruções para instalação.

A operação mostra o uso de plataformas de comunicação populares para disseminação de malware e manipulação digital. A comunidade de cibersegurança alerta que ataques como esses representam uma ameaça contínua e complexa na guerra cibernética em curso.