Aktor ancaman yang selaras Rusia yang dikenal sebagai TAG-110 telah diamati melakukan kampanye phishing tombak yang menargetkan Tajikistan menggunakan templat kata yang diaktifkan makro sebagai muatan awal.
Rantai serangan adalah keberangkatan dari penggunaan loader html Application (.HTA) yang sebelumnya didokumentasikan sebelumnya yang dijuluki Hatvibe, kata kelompok InsiKt Future yang direkam dalam sebuah analisis.
“Mengingat penargetan historis TAG-110 dari entitas sektor publik di Asia Tengah, kampanye ini kemungkinan menargetkan lembaga pemerintah, pendidikan, dan penelitian di dalam Tajikistan,” kata perusahaan keamanan siber.
“Operasi spionase dunia maya ini kemungkinan bertujuan untuk mengumpulkan intelijen untuk mempengaruhi politik atau keamanan regional, terutama selama peristiwa sensitif seperti pemilihan atau ketegangan geopolitik.”
TAG-110, juga disebut UAC-0063, adalah nama yang ditugaskan untuk kelompok kegiatan ancaman yang dikenal karena penargetan kedutaan Eropa, serta organisasi lain di Asia Tengah, Asia Timur, dan Eropa. Itu diyakini aktif setidaknya sejak 2021.
Dinilai untuk berbagi tumpang tindih dengan kru peretasan negara-negara Rusia APT28, kegiatan yang terkait dengan aktor ancaman pertama kali didokumentasikan oleh perusahaan cybersecurity Rumania Bitdefender pada Mei 2023 sehubungan dengan kampanye yang memberikan malware Downenex (alias Stillarch) yang menargetkan entitas pemerintah di Kazakhstan dan Afghanistan.
Namun, tim tanggap darurat komputer Ukraina (CERT-AA) yang secara resmi menugaskan moniker UAC-0063 pada bulan yang sama setelah menemukan serangan cyber yang menargetkan badan-badan negara di negara itu menggunakan strain malware seperti Logpie, Cherryspy (alias Downexpyer), Downex, dan Pyplunderplug.
Kampanye terbaru yang ditujukan untuk organisasi Tajikistan, yang diamati mulai Januari 2025, menunjukkan pergeseran dari Hatvibe, didistribusikan melalui lampiran phishing tombak yang ditanamkan HTA, yang mendukung file template word (.dotm) yang diaktifkan makro, menggarisbawahi evolusi taktik mereka.
“Sebelumnya, TAG-110 memanfaatkan dokumen Word yang diaktifkan makro untuk mengirimkan Hatvibe, malware berbasis HTA, untuk akses awal,” kata Future yang direkam. “Dokumen -dokumen yang baru terdeteksi tidak berisi muatan HTA Hatvibe yang tertanam untuk membuat tugas yang dijadwalkan dan sebaliknya memanfaatkan file templat global yang ditempatkan di folder startup kata untuk kegigihan.”
Email phishing telah ditemukan menggunakan dokumen bertema pemerintah Tajikistan sebagai materi iming-iming, yang selaras dengan penggunaan historis dokumen pemerintah yang sah yang trojanisasi sebagai vektor pengiriman malware. Namun, perusahaan cybersecurity mengatakan tidak dapat secara mandiri memverifikasi keaslian dokumen -dokumen ini.
Hadir dengan file adalah makro VBA yang bertanggung jawab untuk menempatkan templat dokumen di folder startup Microsoft Word untuk eksekusi otomatis dan kemudian memulai komunikasi dengan server perintah-dan-kontrol (C2) dan berpotensi menjalankan kode VBA tambahan yang disediakan dengan respons C2. Sifat pasti dari muatan tahap kedua tidak diketahui.
“Namun, berdasarkan aktivitas historis TAG-110 dan set alat, ada kemungkinan bahwa akses awal yang berhasil melalui templat yang diaktifkan makro akan menghasilkan penyebaran malware tambahan, seperti Hatvibe, Cherryspy, Logpie, atau berpotensi merupakan muatan baru yang dikembangkan khusus yang dirancang untuk operasi spionase,” kata perusahaan itu.
