U oblasti sajber-špijunaže usmjerenih ka Ukrajini, uočena je značajna transformacija zlonamjernog softvera GIFTEDCROOK. Ovaj alat, koji je prvobitno funkcionisao kao jednostavan kradljivac podataka iz pregledača, sada je prerastao u sofisticiranu platformu za prikupljanje obavještajnih podataka.
Ovaj zlonamjerni softver, prvi put otkriven početkom 2025. godine kao osnovni program za krađu informacija, pretrpio je strateška poboljšanja koja su se poklopila sa geopolitičkim dešavanjima, naročito sa mirovnim pregovorima o Ukrajini održanim u Istanbulu u junu 2025. godine.
Grupa UAC-0226, odgovorna za razvoj i distribuciju GIFTEDCROOK-a, pokazala je izvanrednu prilagodljivost, objavljujući tri različite verzije između aprila i juna 2025. godine. Dok se verzija 1 fokusirala isključivo na krađu podataka iz pregledača, verzije 1.2 i 1.3 proširile su svoje mogućnosti na sveobuhvatnu eksfiltraciju dokumenata, ciljajući osjetljive vladine i vojne informacije ukrajinskih institucija.
Analitičari kompanije Arctic Wolf identifikovali su napredak ovog zlonamjernog softvera tokom istrage o kampanjama ciljanog fišinga. Te kampanje su koristile prikrivene PDF dokumente sa vojnom tematikom, namijenjene ukrajinskom vladinom i vojnom osoblju. Vrijeme ovih napada, strateški tempiranih oko ključnih diplomatskih pregovora, ukazuje na koordinisane obavještajne operacije čiji je cilj prikupljanje osjetljivih podataka u ključnim geopolitičkim trenucima.
Napadači primjenjuju sofisticirane taktike društvenog inženjeringa, kreirajući uvjerljive dokumente o procedurama vojne registracije i administrativnim kaznama. Na taj način prevare žrtve da omoguće makro naredbe, koje potom pokreću zlonamjernu aktivnost. Ovi dokumenti, distribuirani putem e-pošte sa lažnim ukrajinskim lokacijama, poput Užgoroda u zapadnoj Ukrajini, sadrže zlonamjerne veze ka datotekama hostovanim u oblaku, što na kraju dovodi do pokretanja GIFTEDCROOK programa.
GIFTEDCROOK verzija 1.3 demonstrira poboljšane mogućnosti programa kroz svoju sveobuhvatnu strategiju prikupljanja datoteka i mehanizme za održavanje postojanosti u sistemu. Po uspješnom postavljanju, zlonamjerni softver se smješta u sistemski direktorij %ProgramData%\PhoneInfo\PhoneInfo i koristi tehnike izbjegavanja mirovanja kako bi zaobišao osnovna rješenja za analizu u izolovanom okruženju. Program implementira sofisticirani sistem filtriranja datoteka, ciljajući dokumente modifikovane u posljednjih 45 dana, što predstavlja značajno proširenje u odnosu na 15-dnevni prozor korišten u verziji 1.2. Ovaj vremenski filter osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata, čime se održava efikasnost operacije. Među ciljanim ekstenzijama datoteka nalaze se standardni kancelarijski dokumenti (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip), kao i značajne konfiguracione datoteke OpenVPN-a (.ovpn), što ukazuje na poseban interes za vjerodajnice za mrežni pristup.
Tehnička analiza otkriva upotrebu prilagođenih XOR algoritama enkripcije od strane zlonamjernog softvera za osiguranje prikupljenih podataka prije njihove eksfiltracije. Proces enkripcije koristi dinamički generisane ključeve, kao što je “BPURYGBLPEWJIJJ” primijećen u analiziranim uzorcima, čime se osigurava cjelovitost podataka tokom prenosa. Datoteke veće od 20 MB automatski se dijele na uzastopne dijelove (.01, .02) radi efikasnog učitavanja na određene Telegram kanale, što ukazuje na pažnju koju napadači posvećuju praktičnim ograničenjima eksfiltracije. Mehanizam eksfiltracije koristi API krajnje tačke Telegrama, pri čemu specifični bot tokeni poput hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument olakšavaju siguran prijenos podataka. Ovaj pristup pruža napadačima pouzdane, enkriptovane komunikacijske kanale, uz istovremeno očuvanje operativne sigurnosti putem legitimnih platformi za razmjenu poruka.
