
Aktor ancaman Rusia yang dikenal sebagai Star Blizzard telah dikaitkan dengan kampanye spear-phishing baru yang menargetkan akun WhatsApp korban, yang menandakan keberangkatan dari perdagangan lama dalam upaya untuk menghindari deteksi.
“Target Star Blizzard paling sering terkait dengan pemerintahan atau diplomasi (baik pemegang jabatan saat ini maupun mantan pemegang jabatan), peneliti kebijakan pertahanan atau hubungan internasional yang karyanya menyentuh Rusia, dan sumber bantuan ke Ukraina terkait perang dengan Rusia,” Microsoft Threat Tim intelijen mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.
Star Blizzard (sebelumnya SEABORGIUM) adalah kelompok aktivitas ancaman terkait Rusia yang terkenal dengan kampanye pengambilan kredensialnya. Aktif setidaknya sejak tahun 2012, ia juga dilacak dengan nama Blue Callisto, BlueCharlie (atau TAG-53), Calisto (bergantian dieja Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446, dan UNC4057.

Rantai serangan yang diamati sebelumnya melibatkan pengiriman email spear-phishing ke target yang diinginkan, biasanya dari akun Proton, melampirkan dokumen yang menyematkan tautan berbahaya yang mengalihkan ke halaman yang didukung Evilginx yang mampu mengambil kredensial dan kode otentikasi dua faktor (2FA) melalui serangan musuh di tengah (AiTM).
Star Blizzard juga telah dikaitkan dengan penggunaan platform pemasaran email seperti HubSpot dan MailerLite untuk menyembunyikan alamat pengirim email yang sebenarnya dan meniadakan kebutuhan untuk menyertakan infrastruktur domain yang dikendalikan aktor dalam pesan email.
Akhir tahun lalu, Microsoft dan Departemen Kehakiman AS (DoJ) mengumumkan penyitaan lebih dari 180 domain yang digunakan oleh pelaku ancaman untuk menargetkan jurnalis, lembaga pemikir, dan organisasi non-pemerintah (LSM) antara Januari 2023 hingga Agustus 2024 .
Raksasa teknologi ini menilai pengungkapan aktivitasnya kepada publik kemungkinan besar telah mendorong kru peretas untuk mengubah taktiknya dengan menyusupi akun WhatsApp. Meskipun demikian, kampanye ini tampaknya telah dibatasi dan dihentikan pada akhir November 2024.
“Sasaran utamanya adalah sektor pemerintah dan diplomasi, termasuk pejabat saat ini dan mantan pejabat,” Sherrod DeGrippo, direktur strategi intelijen ancaman di Microsoft, mengatakan kepada The Hacker News.
“Selain itu, targetnya mencakup individu-individu yang terlibat dalam kebijakan pertahanan, peneliti hubungan internasional yang berfokus pada Rusia, dan mereka yang memberikan bantuan kepada Ukraina sehubungan dengan perang dengan Rusia.”
Semuanya dimulai dengan email spear-phishing yang mengaku berasal dari pejabat pemerintah AS untuk memberikan kesan legitimasi dan meningkatkan kemungkinan korban akan terlibat dengan mereka.
Pesan tersebut berisi kode respons cepat (QR) yang mendesak penerimanya untuk bergabung dengan grup WhatsApp mengenai “inisiatif non-pemerintah terbaru yang bertujuan mendukung LSM Ukraina.” Namun kode tersebut sengaja dipecah agar memicu respon dari korban.
Jika penerima email membalas, Star Blizzard mengirimkan pesan kedua, meminta mereka mengklik di[.]ly memperpendek tautan untuk bergabung dengan grup WhatsApp, sambil meminta maaf atas ketidaknyamanan yang ditimbulkan.
“Ketika tautan ini diikuti, target diarahkan ke halaman web yang meminta mereka memindai kode QR untuk bergabung dengan grup,” jelas Microsoft. Namun, kode QR ini sebenarnya digunakan oleh WhatsApp untuk menghubungkan akun ke perangkat yang ditautkan dan/atau portal Web WhatsApp.

Jika target mengikuti instruksi di situs (“aerofluidthermo[.]org”), pendekatan ini memungkinkan pelaku ancaman mendapatkan akses tidak sah ke pesan WhatsApp mereka dan bahkan mengambil data melalui add-on browser.
Individu yang termasuk dalam sektor yang menjadi target Star Blizzard disarankan untuk berhati-hati saat menangani email yang berisi tautan ke sumber eksternal.
Kampanye ini “menandai terobosan dalam TTP Star Blizzard yang sudah lama ada dan menyoroti kegigihan pelaku ancaman dalam melanjutkan kampanye spear-phishing untuk mendapatkan akses ke informasi sensitif bahkan ketika operasinya mengalami degradasi berulang kali.”