Pelaku ancaman yang memiliki hubungan dengan Rusia telah dikaitkan dengan kampanye spionase dunia maya yang ditujukan pada organisasi di Asia Tengah, Asia Timur, dan Eropa.
Grup Insikt Recorded Future, yang telah menetapkan nama kelompok aktivitas tersebut TAG-110, mengatakan bahwa kelompok tersebut tumpang tindih dengan kelompok ancaman yang dilacak oleh Tim Tanggap Darurat Komputer Ukraina (CERT-UA) sebagai UAC-0063, yang, pada gilirannya, tumpang tindih dengan APT28. Kru peretas telah aktif setidaknya sejak tahun 2021.
“Menggunakan alat malware khusus HATVIBE dan CHERRYSPY, TAG-110 terutama menyerang entitas pemerintah, kelompok hak asasi manusia, dan lembaga pendidikan,” kata perusahaan keamanan siber tersebut dalam laporannya pada hari Kamis. “HATVIBE berfungsi sebagai pemuat untuk menyebarkan CHERRYSPY, pintu belakang Python yang digunakan untuk eksfiltrasi data dan spionase.”
Penggunaan HATVIBE dan CHERRYSPY oleh TAG-110 pertama kali didokumentasikan oleh CERT-UA pada akhir Mei 2023 sehubungan dengan serangan siber yang menargetkan lembaga negara di Ukraina. Kedua keluarga malware tersebut kembali terlihat setahun kemudian dalam sebuah intrusi terhadap lembaga penelitian ilmiah yang tidak disebutkan namanya di negara tersebut.
Sebanyak 62 korban unik di sebelas negara telah diidentifikasi sejak saat itu, dengan insiden penting di Tajikistan, Kyrgyzstan, Kazakhstan, Turkmenistan, dan Uzbekistan, yang menunjukkan bahwa Asia Tengah adalah wilayah fokus utama bagi para pelaku ancaman dalam upaya untuk mengumpulkan data. intelijen yang menginformasikan tujuan geopolitik Rusia di wilayah tersebut.
Jumlah korban yang lebih kecil juga terdeteksi di Armenia, Tiongkok, Hongaria, India, Yunani, dan Ukraina.
Rantai serangan melibatkan eksploitasi kelemahan keamanan dalam aplikasi web yang dapat dilihat publik (misalnya, Rejetto HTTP File Server) dan email phishing sebagai vektor akses awal untuk menjatuhkan HATVIBE, pemuat aplikasi HTML khusus yang berfungsi sebagai saluran untuk menyebarkan pintu belakang CHERRYSPY untuk pengumpulan data dan eksfiltrasi.
“Upaya TAG-110 kemungkinan merupakan bagian dari strategi Rusia yang lebih luas untuk mengumpulkan informasi intelijen mengenai perkembangan geopolitik dan mempertahankan pengaruh di negara-negara pasca-Soviet,” kata Recorded Future. “Kawasan ini penting bagi Moskow karena hubungan yang tegang setelah invasi Rusia ke Ukraina.”
Rusia juga diyakini telah meningkatkan operasi sabotasenya di seluruh infrastruktur penting Eropa setelah invasi besar-besaran ke Ukraina pada Februari 2022, yang menargetkan Estonia, Finlandia, Latvia, Lituania, Norwegia, dan Polandia dengan tujuan mengganggu stabilitas sekutu NATO dan mengganggu mereka. dukungan untuk Ukraina.
“Aktivitas rahasia ini sejalan dengan strategi perang hibrida Rusia yang lebih luas, yang bertujuan untuk menggoyahkan negara-negara NATO, melemahkan kemampuan militer mereka, dan melemahkan aliansi politik,” kata Recorded Future, menggambarkan upaya tersebut sebagai upaya yang “penuh perhitungan dan gigih.”
“Karena hubungan antara Rusia dan Barat hampir pasti akan tetap buruk, Rusia kemungkinan besar akan meningkatkan daya rusak dan mematikan dari operasi sabotasenya tanpa melewati ambang perang dengan NATO seperti yang dibahas dalam doktrin Gerasimov. Serangan fisik ini kemungkinan akan melengkapi serangan Rusia upaya di dunia maya dan operasi pengaruh sejalan dengan doktrin perang hibrida Rusia.”