Ucrania es blanco de un ataque ruso de desinformación y recolección de datos
Investigadores de seguridad han descubierto una nueva "operación de influencia" dirigida a Ucrania que utiliza correos electrónicos no deseados para difundir desinformación relacionada con la guerra. La actividad, conocida como Operación Texonto, ha sido vinculada a actores de amenazas alineados con Rusia.
En octubre de 2023, una campaña de phishing dirigida a una empresa de defensa ucraniana y a una agencia de la Unión Europea tenía como objetivo recopilar credenciales de inicio de sesión de Microsoft utilizando páginas de destino falsas, con similitudes con el actor de amenazas COLDRIVER.
La Operación Texonto se desarrolló en dos oleadas en noviembre y diciembre de 2023, utilizando mensajes de correo electrónico con archivos adjuntos en PDF que hablaban de interrupciones en la calefacción, escasez de medicamentos y escasez de alimentos. La ola de noviembre se centró en cientos de destinatarios en Ucrania, incluidas entidades gubernamentales, empresas de energía e individuos.
Desinformación y oscuras sugerencias de los hackers rusos
Los correos electrónicos fueron enviados desde un dominio que se hacía pasar por el Ministerio de Política Agraria y Alimentación de Ucrania, con contenido sobre la escasez de medicamentos utilizando el logotipo del Ministerio de Salud de Ucrania, lo que indica una posible supervisión por parte de los atacantes.
La segunda ola, que comenzó el 25 de diciembre de 2023, amplió su objetivo más allá de Ucrania para incluir hablantes de ucraniano en otras naciones europeas. Si bien deseaban a sus destinatarios unas felices fiestas, estos mensajes dieron un giro más oscuro, sugiriendo que los destinatarios amputaran un brazo o una pierna para evitar el despliegue militar, con una inquietante declaración que animaba a una "vida feliz" después de un breve momento de dolor.
Curiosamente, el mismo servidor de correo electrónico fue reutilizado posteriormente para propagar una estafa farmacéutica. Se sospecha que los actores de amenazas optaron por monetizar su infraestructura para obtener ganancias financieras después de darse cuenta de que sus dominios habían sido detectados por los defensores.
