Pesquisadores identificaram uma campanha persistente de furto de credenciais que mira usuários do serviço ucraniano UKR.NET. A operação, atribuída ao grupo conhecido como BlueDelta (também identificado como APT28/Fancy Bear), utilizou páginas de login falsas e infraestruturas de hospedagem em serviços gratuitos entre junho de 2024 e abril de 2025.
Descoberta e escopo
Analistas da Recorded Future documentaram mais de 42 cadeias distintas de captura de credenciais ao longo do período investigado. O ataque visou especificamente o portal de webmail e notícias UKR.NET, hospedando páginas falsas em serviços como Mocky e DNS EXIT e distribuindo links por meio de PDFs enviados às vítimas.
Vetor e técnica
As páginas falsas implementavam JavaScript personalizado para exfiltrar nomes de usuário, senhas e códigos de autenticação de dois fatores. O código encaminhava desafios CAPTCHA para domínios com portas incomuns e registrava endereços IP das vítimas via serviços como HTTPBin. Em versões posteriores, os operadores adicionaram o cabeçalho req.setRequestHeader("ngrok-skip-browser-warning","1") para suprimir a página de aviso do ngrok — ação que torna a página maliciosa mais convincente para usuários finais.
Infraestrutura de ocultação
O esquema contou com múltiplas camadas: encurtadores de link (TinyURL, Linkcuts) na primeira camada, Mocky como hospedagem das páginas na segunda, e túneis ngrok que encaminhavam para servidores finais localizados, segundo o relatório, na França e no Canadá. Os operadores também usaram plataformas de proxy público como Serveo para mascarar a origem final.
Evidências e mudanças operacionais
Recorded Future observa que o grupo alterou técnicas após ações de aplicação da lei em 2024 que derrubaram infraestruturas anteriores. A migração para serviços públicos e gratuitos complicou o rastreamento e permitiu renovação rápida de cadeias de captura.
Impacto e alcance
Embora o relatório descreva a escala e persistência (42 cadeias identificadas), não há número público de vítimas final confirmado no material. O foco principal foi a coleta de credenciais e códigos 2FA, com intenção óbvia de acessar contas de e‑mail e serviços associados — capacidade que pode servir para espionagem e movimentação lateral em alvos de interesse do Estado.
Recomendações práticas
- Usuários e administradores do UKR.NET devem reforçar campanhas de conscientização sobre links em PDFs e verificar URLs antes de autenticar.
- Provedores e equipes de segurança devem monitorar e bloquear domínios e padrões de proxy/túnel associados às cadeias identificadas.
- Adotar métodos de MFA resistentes a captura por phishing (FIDO/WebAuthn) sempre que possível.
Conclusão
A campanha demonstra adaptação tática de um ator estatal conhecido, migrando para serviços de terceiros e implementando técnicas técnicas para evitar avisos do navegador. Falta, no relatório público, contagem de vítimas e indicadores completos replicáveis pelo leitor — pontos que Recorded Future documentou em seu relatório técnico referenciado pelo release.