Theo TechRadar, trong hơn một năm qua, những nhóm tin tặc được nhà nước Nga tài trợ đã nhắm vào các tổ chức quân sự và quốc phòng của Ukraine bằng phần mềm độc hại được thiết kế riêng. Điều này được tiết lộ bởi nhóm phân tích mối đe dọa TAG của Google, những người đặt tên cho nhóm tấn công của Nga là COLDRIVER - trong khi các nhóm an ninh khác gọi họ là Star Blizzard, UNC4057 và Callisto.
Theo báo cáo của TAG, COLDRIVER đã được phát hiện từ năm 2019, nhắm vào các mục tiêu quân sự, chính phủ, học thuật, NGO và các mục tiêu tương tự ở phương Tây. Tuy nhiên, kể từ đầu năm 2022 và sau khi Nga tấn công Ukraine, nhóm này đã gia tăng hoạt động bằng cách tạo ra một phần mềm độc hại mới mang tên SPICA. SPICA có khả năng chạy các lệnh shell, đánh cắp cookie phiên từ các trình duyệt phổ biến, tải lên và tải xuống các tệp, xem và đánh cắp các tài liệu nhạy cảm.
"SPICA được quan sát đã sử dụng từ tháng 9/2023, nhưng tin rằng COLDRIVER đã sử dụng phần mềm độc hại này từ tháng 11/2022", nhóm TAG cho biết trong báo cáo được công bố đầu tuần này.
TAG cho biết SPICA dường như là phần mềm độc hại tùy chỉnh đầu tiên của COLDRIVER và đang được phân phối cho những cá nhân có uy tín trong các tổ chức phi chính phủ, cựu quan chức tình báo và quân đội, quốc phòng và các chính phủ NATO.
Tuy nhiên, phương thức phân phối vẫn không thay đổi. Kẻ tấn công sẽ tìm hiểu thông tin về nạn nhân trên mạng xã hội và liên lạc bằng cách giả danh người quen của họ. Một báo cáo khác của Five Eyes cho biết kẻ tấn công sử dụng email để gửi một tệp tin PDF giả mạo và không thể đọc được. Khi nạn nhân trả lời người gửi, kẻ tấn công sẽ gửi lại một "công cụ giải mã" cho tệp đó, nhưng thực chất là phần mềm độc hại SPICA.
Cách tốt nhất để chống lại những cuộc tấn công này là thận trọng với các email nhận được từ người lạ và xác minh danh tính của người gửi trước khi tương tác với nội dung và tệp đính kèm.