Agências governamentais e entidades industriais na Rússia estão sendo alvo de uma campanha de ciberataques contínua, atribuída ao grupo Awaken Likho. De acordo com a Kaspersky, os atacantes agora utilizam o agente da plataforma legítima MeshCentral em vez do módulo UltraVNC, que anteriormente usavam para obter acesso remoto aos sistemas. A nova campanha, iniciada em junho de 2024, se estendeu pelo menos até agosto, com foco principal em órgãos governamentais russos, seus contratados e empresas do setor industrial.

A Kaspersky apontou que o Awaken Likho foi documentado pela primeira vez em junho de 2023, em ataques direcionados contra setores de defesa e infraestrutura crítica. Acredita-se que o grupo esteja em atividade desde agosto de 2021. Os ataques de spear-phishing lançados pelo grupo envolvem a distribuição de arquivos executáveis maliciosos disfarçados como documentos Microsoft Word ou PDF, utilizando extensões duplas como “doc.exe” ou “.pdf.exe”, para que apenas as partes “.docx” e “.pdf” sejam visíveis para os usuários.

Ao abrir esses arquivos, os alvos acabam instalando o UltraVNC, o que permite aos atacantes obter controle total sobre os sistemas comprometidos. O mais recente ataque identificado também utiliza um arquivo SFX criado com o 7-Zip, que, quando aberto, executa um arquivo denominado “MicrosoftStores.exe”. Esse arquivo descompacta um script AutoIt para, finalmente, rodar a ferramenta de gerenciamento remoto MeshAgent, de código aberto.

Com essa técnica, os atacantes conseguem persistir nos sistemas comprometidos, criando uma tarefa agendada que executa um arquivo de comando, o qual, por sua vez, inicia o MeshAgent para estabelecer conexão com o servidor MeshCentral.