Ukrán toborzók az orosz kampány célkeresztjében
2024 szeptemberében a Google Threat Intelligence Group (amely a Google fenyegetéselemző csoportjából (TAG) és a Mandiantból áll) felfedezte az UNC5812-t, egy feltételezett orosz hibrid kémkedési és befolyásolási műveletet, amely Windows és Android malware-t szállít a Telegram „Civil Defense” nevű személyiségének használatával. A „Civil Defense” persona azt állítja, hogy olyan ingyenes szoftverprogramok szolgáltatója, amelyek célja, hogy a potenciális sorkötelesek megtekinthessék és megoszthassák az ukrán katonai toborzók helyét. Ha ezek a programok a Google Play Protect letiltásával települnek, akkor egy operációs rendszerspecifikus kártevő változatot juttatnak el az áldozathoz egy SUNSPINNER néven nyomon követhető, csaló térkép alkalmazással együtt. Amellett, hogy a Telegram-csatornáját és weboldalát rosszindulatú programok terjesztésére használja, az UNC5812 aktívan részt vesz a befolyásolási tevékenységben is, olyan narratívákat terjeszt és olyan tartalmakat gyűjt, amelyek célja az ukrán mozgósítási erőfeszítések aláásása.
Az UNC5812 rosszindulatú szoftverek terjesztési műveleteit a szereplők által ellenőrzött @civildefense_com_ua Telegram-csatornán és a civildefense[.]com.ua weboldalon keresztül végzi. A kapcsolódó weboldalt 2024 áprilisában regisztrálták, de a Telegram-csatornát csak 2024 szeptember elején hozták létre, ami az elemzők megítélése szerint az UNC5812 kampányának teljes körű működésének kezdete.
2024. szeptember 18-án egy több mint 80 000 feliratkozóval rendelkező, rakétariasztásokról szóló legitim csatornán megfigyelték, hogy a Civil Defense Telegram-csatornát és weboldalt népszerűsíti a feliratkozóknak. Egy további ukrán nyelvű hírcsatorna október 8-án a Civil Defense bejegyzéseit népszerűsítette, ami azt jelzi, hogy a kampány valószínűleg még mindig aktívan keresi az új ukrán nyelvű közösségeket. Azok a csatornák, ahol a „Civil Defense” posztjait népszerűsítették, azt hirdetik, hogy szponzori lehetőségekért vegyél fel velük a kapcsolatot. A kutatók szerint ez az a valószínű vektor, amelyet az UNC5812 arra használ, hogy a művelet hatókörének növelése érdekében megkeresse a megfelelő legális csatornákat.
