Um novo malware denominado Kapeka vem sendo utilizado em ataques cibernéticos direcionados contra o Leste Europeu, particularmente Estônia e Ucrânia, desde meados de 2022. Esta ameaça está vinculada ao grupo de ameaça persistente avançada (APT) associado à Rússia, conhecido como Sandworm, também referido como APT44. A Microsoft tem monitorado este malware sob o nome KnuckleTouch.

O Kapeka funciona tanto como uma ferramenta inicial quanto como um meio para acesso prolongado às redes comprometidas. O malware, um DLL do Windows escrito em C++, inclui funcionalidades típicas de ferramentas avançadas de espionagem cibernética, tais como furto de dados, acesso remoto e execução de comandos de um servidor controlado.

O backdoor se disfarça como um complemento do Microsoft Word para evitar detecção e utiliza a interface COM WinHttp 5.1 para comunicações de rede, codificando mensagens no formato JSON para interagir com seu servidor de comando e controle (C2). As características avançadas e a forma discreta com que o Kapeka opera significam um nível sofisticado de ameaça consistente com atividades de APT, com implicações significativas para as defesas de cibersegurança nas regiões alvo.