O ator de ameaças ligado à Rússia, conhecido como COLDRIVER, foi observado evoluindo suas técnicas para ir além da coleta de credenciais e entregar seu primeiro malware personalizado escrito na linguagem de programação Rust.

O Grupo de Análise de Ameaças (TAG) do Google, que compartilhou detalhes da atividade recente, disse que as cadeias de ataque utilizam PDFs como documentos isca para desencadear a sequência de infecção. As iscas são enviadas de contas de imitação.

COLDRIVER, também conhecido pelos nomes Blue Callisto, BlueCharlie (ou TAG-53), Calisto (alternativamente soletrado Callisto), Gossamer Bear, Star Blizzard (anteriormente SEABORGIUM), TA446 e UNC4057, é conhecido por estar ativo desde 2019, visando uma ampla gama de setores.

Isso inclui academia, defesa, organizações governamentais, ONGs, think tanks, roupas políticas e, recentemente, alvos industriais de defesa e instalações de energia. “Alvos no Reino Unido e nos EUA parecem ter sido mais afetados pela atividade do Star Blizzard, no entanto, a atividade também foi observada contra alvos em outros países da OTAN e países vizinhos à Rússia”, divulgou o governo dos EUA no mês passado. As campanhas de spear-phishing montadas pelo grupo são projetadas para engajar e construir confiança com as vítimas em potencial, com o objetivo final de compartilhar páginas de login falsas para colher suas credenciais e obter acesso às contas.