Dos campañas de spear-phishing están dirigidas a ONGs rusas y bielorrusas, así como a medios de comunicación independientes rusos e internacionales. Los ataques están siendo atribuidos a dos grupos conocidos como COLDRIVER y COLDWASTREL, con intereses alineados con el gobierno ruso.
Estas campañas, denominadas «River of Phish» y «COLDWASTREL«, respectivamente, apuntan a figuras prominentes de la oposición rusa en el extranjero, funcionarios y académicos en think tanks de EE. UU., y un ex embajador de EE. UU. en Ucrania. Según una investigación conjunta de Access Now y Citizen Lab.
Ambos tipos de ataques están altamente personalizados, utilizando tácticas de ingeniería social para engañar a las organizaciones objetivo. Las tácticas comunes incluyen el envío de correos electrónicos desde cuentas comprometidas o que se asemejan a las de contactos conocidos por las víctimas.
«River of Phish» engaña a las víctimas para que hagan clic en enlaces incrustados en documentos PDF, redirigiéndolos a páginas de captura de credenciales. Mientras que la campaña «COLDWASTREL» utiliza Proton Mail y Proton Drive para hacer que los objetivos hagan clic en enlaces que los llevan a páginas de inicio de sesión falsas.
Aunque se ha observado que COLDWASTREL utiliza dominios similares para la captura de credenciales, se diferencia de COLDRIVER en cuanto al contenido y metadatos de los PDF. Hasta el momento, la actividad no ha sido atribuida a un actor o país en particular.
Citizen Lab señaló que el phishing sigue siendo una técnica efectiva debido a su bajo costo, ya que permite lograr objetivos evitando exponer capacidades más sofisticadas. Los ataques de ambas campañas fueron identificados por primera vez en marzo de 2023.
Vía The Hacker News