O grupo russo de ameaças cibernéticas Star Blizzard, conhecido anteriormente como SEABORGIUM, iniciou uma nova campanha de spear-phishing visando contas do WhatsApp. Ativo desde 2012, o grupo é especializado em roubo de credenciais e ataques contra alvos relacionados a governo, diplomacia, defesa e pesquisas internacionais, com foco especial em questões ligadas à Rússia e à Ucrânia. Segundo a Microsoft, os alvos incluem funcionários e ex-funcionários governamentais, pesquisadores e apoiadores da Ucrânia. A campanha, encerrada em novembro de 2024, usava e-mails fraudulentos que simulavam ser enviados por autoridades dos EUA. Esses e-mails traziam um código QR falso que supostamente direcionava a um grupo no WhatsApp sobre iniciativas humanitárias para a Ucrânia.

O código, na verdade, era propositalmente inválido para induzir as vítimas a responderem ao e-mail. Após a interação inicial, os atacantes enviavam um link encurtado que redirecionava as vítimas a um site malicioso (aerofluidthermo[.]org), onde era exibido um QR legítimo do WhatsApp. Esse código permitia aos atacantes vincular a conta da vítima a outro dispositivo, acessando mensagens e extraindo dados por meio de extensões de navegador. Anteriormente, o Star Blizzard utilizava spear-phishing tradicional, enviando links para páginas maliciosas capazes de capturar credenciais e códigos 2FA com ataques do tipo adversário-no-meio (AiTM). Eles também usavam plataformas como HubSpot para mascarar os remetentes e evitar detecção.

Entre 2023 e 2024, a Microsoft e o Departamento de Justiça dos EUA confiscaram mais de 180 domínios controlados pelo grupo, forçando-o a adotar novos métodos, como o uso do WhatsApp. Especialistas recomendam cautela ao interagir com e-mails contendo links ou QR codes, especialmente em setores governamentais e diplomáticos. A campanha demonstra a capacidade do grupo de adaptar suas táticas para acessar informações sensíveis, apesar das tentativas de interromper suas operações.