Кибершпионы UAC-0226 трансформируют GIFTEDCROOK в платформу для сбора разведданных во время переговоров по Украине

Первоначальная версия v1, обнаруженная CERT-UA в апреле 2025 года, фокусировалась исключительно на краже кэша браузеров. Однако уже к маю злоумышленники развернули v1.2 с принципиально новыми возможностями: поиск файлов по расширениям (.doc, .xlsx, .ovpn и др.), XOR-шифрование данных и автоматическое удаление следов после операции. Кульминацией стала v1.3 в июне, которая комбинирует кражу документов и браузерных секретов (логины, cookies Chrome, Edge, Firefox) с расширенным периодом сбора - теперь вредонос ищет файлы, измененные за последние 45 дней.

Фишинг остается ключевым вектором атак. Злоумышленники рассылают письма, маскирующиеся под официальные уведомления о военной мобилизации или административных штрафах, со вложенными PDF-документами. Те, в свою очередь, содержат ссылки на облачное хранилище Mega.nz, где размещены Excel-файлы с макросами. Жертвам предлагается включить макросы под предлогом «корректного отображения данных» - на деле это запускает цепочку заражения: из документа извлекается исполняемый файл, который сохраняется в %ProgramData%\Infomaster\ и начинает сканирование системы. Особую изощренность демонстрирует анализ заголовков писем: атакующие указывают фальшивых получателей в Бахмуте (Донецкая область), маскируя реальные цели - украинские госучреждения. Более того, инфраструктура для рассылки пересекается с кампаниями по распространению NetSupport RAT, что свидетельствует о скоординированных действиях нескольких групп угроз.

Эксфильтрация данных организована через Telegram-ботов. Собранные файлы сортируются по папкам, архивируются, шифруются (например, ключом "BPURYGBLPEWJIJJ" в v1.2) и отправляются на заранее созданные каналы. Для обхода ограничений на размер архивов (>20 МБ) в v1.3 внедрено разделение на части с последовательной нумерацией. При этом метаданные файлов сохраняются в теле сообщения, что упрощает их восстановление злоумышленниками. Завершающий этап – самоуничтожение вредоноса с помощью скрипта Infomaster_delete.bat, который циклично удаляет следы присутствия в системе.

Стратегическое значение атак подчеркивается их синхронизацией с политическими процессами. Развертывание v1.2 началось в преддверии стамбульских переговоров 2 июня по обмену пленными, а v1.3 активизировалась в период обсуждения административных штрафов для военнообязанных. Тематика фальшивых документов эксплуатирует реальные проблемы Украины: нехватку личного состава, судебные решения по мобилизации и продление военного положения. Анализ расширений целевых файлов (включая редкие .bwet) указывает, что злоумышленники обладают детальными знаниями о специфике инфраструктуры жертв.

Превращение GIFTEDCROOK из инструментальной утилиты в платформу для стратегического шпионажа демонстрирует новую фазу киберконфликтов – когда вредоносы адаптируются не только под технические среды, но и под геополитическую конъюнктуру. Учитывая сохраняющуюся напряженность вокруг Украины, ожидаемо дальнейшее развитие подобных программ с усилением функций скрытности и таргетирования.

URLs

• https://api.telegram.org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument
• https://api.telegram.org/bot7806388607:AAFb6nCE21n6YmK6-bJA6IrcLTLfhlwQ254/sendDocument

SHA256

• 1974709f9af31380f055f86040ef90c71c68ceb2e14825509babf902b50a1a4b
• 399c0881230f6309f1fead5dae33021a40ae2a4c37edac1c24c9b4e1a0e630f9
• 4e61215d2f5323942ef2cf737d6cb7c2755820796325ceef4e4b5d7e7aef2208
• A6dd44c4b7a9785525e7f487c064995dc5f33522dad8252d8637f6a6deef3013
• a7a2895e4c10866967eff3ec719a2f697c859888af6482f6697e90042cb5d5b2
• B9d508d12d2b758091fb596fa8b8b4a1c638b7b8c11e08a1058d49673f93147d
• c2e920944d994ba28bc9e159491a89d83e305e63fafc4a4e25433db63800d5fa
• ca2585acb9e37f5f46705f8f00d69453bfce7dc9327af0325a7ad8a88bf549a7
• f6b03fa3ea7fd2c4490af19b3331f7ad384640083757a3cede320ca54c7b0999