Calisto kampány
A SEKOIA.io jelentése szerint a Calisto (ColdRiver / Star Blizzard) legújabb kampányában az eddig többnyire rejtett hírszerzési célok helyett, civil szervezetek, köztük a Reporters Without Borders (RSF) is célponttá vált. A támadás a megszokott spear-phishing mintára épült, az e-mail egy megbízhatónak tűnő ismerőstől érkezett, és arra kérte a címzetteket, hogy az áldozat tekintsen át egy dokumentumot. Igazából nem volt semmilyen csatolmány, csupán egy szöveg, amely azt sugallta, hogy az e-mailhez tartozó PDF valamilyen okból nem csatolták. A cél az volt, hogy az áldozat rákérdezzen, amikor ezt megtette, a támadó küldött egy hiányzó dokumentumot, ezúttal valódi linkkel. A link egy kompromittált webhelyről indított átirányítással vitt a támadó által felépített phishing-infrastruktúrához.
Az RSF-t célzó próbálkozásban a végső csali egy rosszindulatú PDF volt, amely hamis üzenettel jelezte, hogy a fájl titkosítva van — és egy linkre kattintás után a felhasználót átirányította egy hamis bejelentkező oldalra. Ez az oldal úgy nézett ki, mint egy hiteles bejelentkező felület, ám valójában az adatok ellopására, kétfaktoros hitelesítés kijátszására és jelszavak és a hitelesítési tokenek megszerzésére készült.
Az elemzés szerint a Calisto mögött álló szereplők célzása nem véletlen, az RSF, mivel aktívan támogatja az ukrajnai sajtószabadságot és gyakran segít orosz újságíróknak, 2025 augusztusában nem kívánatos szervezetként lett besorolva Oroszországban. Emiatt különösen indokoltnak tűnik, hogy a támadók kém– és információgyűjtési kampányban célba vették a szervezetet.
Az infrastruktúra, amelyen keresztül a phishing zajlott, jellemzően kompromittált webhelyekre telepített redirector PHP-szkripteket használt, hogy az áldozat átirányítása ne tűnjön szokatlannak. Ezután JavaScript-alapú átirányítással vitték az áldozatot a hamis bejelentkező oldalra. A vizsgált phishing-kit úgy működött, hogy a bejelentkező űrlap mezői előre kitöltött e-mail címeket mutattak, a jelszó mező pedig kényszer‐fókuszt kapott, így kattintás után azonnal odaugrott a kurzor, megnehezítve az áldozat számára, hogy meggondolja magát.
A kit 2FA kódokat is el tudott kapni — ha a felhasználó beütötte a kódot, a hamis oldal továbbította azt a valódi szolgáltató felé, így a tényleges bejelentkezés sikeres lett, de a támadó azonnal megszerezte az érvényes munkamenetet, azaz hozzáférést nyert a fiókhoz.
