Hackers associados ao governo russo estão conduzindo uma campanha de espionagem cibernética contra o Cazaquistão, buscando informações econômicas e políticas na Ásia Central. A operação é atribuída ao grupo UAC-0063, que apresenta conexões com o APT28, vinculado à Diretoria Principal de Inteligência do Estado-Maior da Rússia (GRU), também conhecido por vários nomes, incluindo Fancy Bear e Sofacy. O UAC-0063 foi identificado inicialmente em 2023 pelo CERT-UA, que relatou ataques usando os malwares HATVIBE, CHERRYSPY e STILLARCH. 

Posteriormente, o grupo expandiu suas ações para organizações na Ásia Central, Leste Asiático e Europa, concentrando-se em setores como governos, ONGs, academia, energia e defesa. A campanha atual utiliza documentos legítimos do Ministério das Relações Exteriores do Cazaquistão como iscas de spear-phishing. Esses arquivos, contaminados com macros maliciosos, ativam uma cadeia de infecção conhecida como “Double-Tap”, que instala o malware HATVIBE.  O ataque inclui técnicas para evitar detecção, como esconder o código malicioso em arquivos de configuração e criar tarefas agendadas sem acionar processos suspeitos. O HATVIBE serve como um carregador, recebendo módulos VBS de um servidor remoto. Ele prepara o terreno para o CHERRYSPY, um backdoor em Python, ampliando as capacidades de espionagem do grupo. Especialistas destacam semelhanças técnicas com campanhas anteriores do APT28, fortalecendo a associação com hackers russos.

Paralelamente, países da Ásia Central e América Latina, como Cazaquistão e Cuba, adquiriram o sistema de interceptação SORM da Rússia. Esse aparato permite monitorar comunicações sem o conhecimento das operadoras, incluindo chamadas, internet e redes sociais. Embora tenha aplicações legítimas, o SORM é frequentemente usado para reprimir opositores políticos e jornalistas. Essas operações ampliam a influência russa, reforçando seu controle em regiões estratégicas e consolidando sua presença no cenário geopolítico global.