Grupo de hackers russo Sandworm implanta novo malware Wiper na Ucrânia

Grupo de hackers russo Sandworm implanta novo malware Wiper na Ucrânia

O grupo de hackers Sandworm, apoiado pela Rússia, implantou malware de limpeza de dados na Ucrânia no segundo e terceiro trimestre de 2025, de acordo com a ESET.

Em seu Relatório de Atividades da APT 2º trimestre de 2025–3º trimestre de 2025, a empresa de cibersegurança com sede na Eslováquia forneceu uma panorâmica da atividade dos grupos de ameaças persistentes avançadas (APT) em todo o mundo de abril a setembro de 2025.

O relatório, publicado em 6 de novembro, revelou que o Sandworm implantou limpadores de dados, incluindo Zerolot e Sting, contra organizações na Ucrânia.

Os alvos variaram de entidades governamentais, empresas dos setores de energia e logística e do setor de grãos.

Sandworm, também conhecido como APT44, Telebots, Voodoo Bear, Iridium, Seashell Blizzard e Iron Viking, tem sido associado à unidade do serviço de inteligência militar da Rússia (GRU) MUN74455 por várias empresas de segurança cibernética e agências governamentais.

A ESET avaliou que o objetivo provável do grupo para implantar novos limpadores era enfraquecer a economia ucraniana.

Grupos russos usam spear phishing e backdoor para espionagem cibernética

O relatório da ESET observou que outros grupos APT alinhados à Rússia também mantiveram seu foco na Ucrânia e em países com laços estratégicos com a Ucrânia, ao mesmo tempo em que expandiram suas operações para entidades europeias.

Enquanto o objetivo do Sandworm parecia ser interromper as organizações ucranianas, outros grupos de estados-nação russos buscavam objetivos de espionagem cibernética por meio de uma combinação de campanhas de spear phishing e implantes de backdoor.

Gamaredon continuou sendo o grupo APT mais ativo visando a Ucrânia, com um aumento notável na intensidade e frequência de suas operações durante o período relatado.

“Esse aumento na atividade coincidiu com um raro exemplo de cooperação entre grupos APT alinhados à Rússia, já que Gamaredon implantou seletivamente um dos backdoors do Turla. O conjunto de ferramentas da Gamaredon, possivelmente também estimulado pela colaboração, continuou a evoluir, por exemplo, por meio da incorporação de novos ladrões de arquivos ou serviços de tunelamento”, escreveram os pesquisadores da ESET.

Notavelmente, a ESET relatou que outro agente de ameaças alinhado à Rússia, InedibleOchotense, conduziu uma campanha de spear phishing se passando pela empresa de segurança cibernética.

“Esta campanha envolveu e-mails e mensagens do Signal entregando um instalador ESET trojanizado que leva ao download de um produto ESET legítimo junto com o backdoor Kalampur”, dizia o relatório.

Alguns grupos russos expandiram seus alvos para além da Ucrânia.

Por exemplo, o RomCom, outro dos grupos APT russos mais ativos, explorou uma vulnerabilidade de dia zero no WinRAR para implantar DLLs maliciosas e fornecer uma variedade de backdoors, com foco nos setores financeiro, de manufatura, defesa e logística na UE e no Canadá.

Visão geral da atividade global do APT

O relatório da ESET também destacou o foco contínuo dos APTs alinhados à China na espionagem geopolítica, visando a América Latina (FamousSparrow), Sudeste Asiático, EUA, EUA e Europa (Mustang Panda), saúde de Taiwan (Flax Typhoon) e setor de energia da Ásia Central (Speccom).

Enquanto isso, o grupo de hackers MuddyWater, alinhado ao Irã, intensificou suas táticas internas de spear phishing – enviando e-mails maliciosos direcionados de caixas de entrada comprometidas dentro da organização-alvo – enquanto o BladedFeline atualizou a infraestrutura e o GalaxyGato implantou um backdoor atualizado e roubo de credenciais de sequestro de DLL.

Finalmente, alguns APTs alinhados à Coreia do Norte expandiram seus roubos de criptomoedas e táticas de espionagem para o Uzbequistão, enquanto vários grupos do mesmo país – DeceptiveDevelopment, Lazarus, Kimsuky e Konni – foram observados visando diplomatas e acadêmicos sul-coreanos para obter receita e ganhos geopolíticos.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.