Kibernetička špijunaža usmjerena na Ukrajinu doživjela je značajnu evoluciju s transformacijom GIFTEDCROOK zlonamjernog softvera iz jednostavnog kradljivca vjerodajnica pretraživača u sofisticiranu platformu za prikupljanje obavještajnih podataka.
Ovaj zlonamjerni softver, prvobitno otkriven kao osnovni kradljivac informacija početkom 2025. godine, prošao je strateška poboljšanja koja se usko poklapaju s geopolitičkim događajima, posebno s mirovnim pregovorima u Istanbulu u junu 2025. godine.
Grupa UAC-0226, odgovorna za razvoj i implementaciju GIFTEDCROOK-a, pokazala je izuzetnu prilagodljivost izdajući tri različite verzije između aprila i juna 2025. godine.
Ono što je počelo kao verzija 1 usmjerena isključivo na krađu podataka iz pretraživača, evoluiralo je kroz verzije 1.2 i 1.3 kako bi obuhvatilo sveobuhvatne mogućnosti za eksfiltraciju dokumenata, ciljajući osjetljive vladine i vojne informacije iz ukrajinskih institucija.
Analitičari Arctic Wolf otkrili su napredovanje zlonamjernog softvera tokom svoje istrage o kampanjama ciljanog fišinga koje su koristile mamce u obliku PDF-ova s vojnom tematikom, posebno ciljajući ukrajinsko vladino i vojno osoblje.
Vremenski raspored ovih napada, strateški pozicioniran oko ključnih diplomatskih pregovora, sugerira koordinisane obavještajne operacije osmišljene za prikupljanje osjetljivih informacija tokom presudnih geopolitičkih trenutaka.
Zlonamjerni akteri koriste sofisticirane taktike društvenog inženjeringa, kreirajući uvjerljive dokumente o procedurama vojne registracije i administrativnim kaznama kako bi prevarili mete da omoguće zlonamjerne makronaredbe.
Ovi dokumenti, distribuirani putem e-pošte s lažnim ukrajinskim lokacijama, posebno iz Užgoroda na zapadu Ukrajine, sadrže zlonamjerne veze ka datotekama hostovanim u oblaku koje na kraju isporučuju GIFTEDCROOK teret.
Napredna postojanost i mehanizmi prikupljanja datoteka
GIFTEDCROOK verzija 1.3 prikazuje poboljšane mogućnosti zlonamjernog softvera kroz svoju sveobuhvatnu strategiju prikupljanja datoteka i mehanizme postojanosti.
Nakon uspješnog raspoređivanja, zlonamjerni softver se etablira u sistemski direktorijum `%ProgramData%\PhoneInfo\PhoneInfo` i implementira tehnike izbjegavanja mirovanja kako bi zaobišao osnovna rješenja za peskovanje.
Zlonamjerni softver koristi sofisticirani sistem filtriranja datoteka koji cilja dokumente modifikovane u posljednjih 45 dana, značajno proširujući prvobitni prozor od 15 dana korišten u verziji 1.2.
Ovaj mehanizam temporalnog filtriranja osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata, istovremeno održavajući operativnu efikasnost.
Ciljane ekstenzije datoteka uključuju standardne uredske dokumente (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip) i, značajno, konfiguracijske datoteke OpenVPN (.ovpn), što ukazuje na poseban interes za vjerodajnice za mrežni pristup.
Tehnička analiza otkriva upotrebu prilagođenih XOR šifrirajućih algoritama zlonamjernog softvera za osiguranje prikupljenih podataka prije eksfiltracije.
Proces šifriranja koristi dinamički generisane ključeve, kao što je “BPURYGBLPEWJIJJ” primijećen u analiziranim uzorcima, osiguravajući integritet podataka tokom prenosa.
Datoteke veće od 20 MB automatski se dijele na sekvencijalne dijelove (.01, .02) radi efikasnog prijenosa na određene Telegram kanale, demonstrirajući pažnju zlonamjernih aktera na praktična ograničenja eksfiltracije.
Mehanizam eksfiltracije koristi API krajnje tačke Telegrama, sa specifičnim bot tokenima kao što je `hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument` koji olakšavaju siguran prijenos podataka.
Ovaj pristup pruža napadačima pouzdane, šifrovane komunikacijske kanale, istovremeno održavajući operativnu sigurnost putem legitimnih platformi za razmjenu poruka.
