Hackers russos imitam eventos europeus em campanhas coordenadas de phishing – Against Invaders

Hackers russos imitam eventos europeus em campanhas coordenadas de phishing - Against Invaders

Hackers russos ligados ao Estado estão a fazer-se passar por conferências de segurança europeias de alto nível para comprometer e-mails na nuvem e contas de colaboração em governos, grupos de reflexão e organizações políticas, de acordo com uma nova investigação da empresa de segurança cibernética Volexity.

As campanhas, ativas até o final de 2025, abusam dos fluxos de trabalho legítimos de autenticação da Microsoft e do Google e dependem de engenharia social meticulosa para enganar as vítimas e fazê-las ceder efetivamente o acesso às suas contas.

A Volexity atribui a atividade ao ator de ameaça russo UTA0355, anteriormente ligado a ataques que abusam Microsoft 365 Fluxos de autenticação OAuth e Device Code.

As operações mais recentes mostram que, apesar da exposição pública destes métodos no início de 2025, o grupo continua a refinar as suas iscas e táticas de entrega, em vez da sua abordagem técnica central.

Em duas grandes campanhas, o UTA0355 criou uma infraestrutura de phishing convincente em torno de eventos reais de segurança internacional na Europa.

Uma operação falsificou a Conferência de Segurança de Belgrado, agendada para 17 a 19 de novembro de 2025, enquanto outra personificou o Diálogo Indo-Pacífico de Bruxelas (BIPD), um fórum político Indo-Pacífico organizado em Bruxelas no início de dezembro de 2025.

Falsificar eventos europeus para enganar as vítimas

Em ambos os casos, os invasores criaram sites com aparência profissional e fluxos de registro projetados para imitar processos de eventos autênticos e, em seguida, usaram esses sites como plataformas de lançamento para fluxos de trabalho de phishing do Microsoft 365.

Para a Conferência de Segurança de Belgrado, a Volexity investigou um incidente de outubro de 2025 no qual a conta do Microsoft 365 de um usuário foi comprometida após a detecção de um login anômalo.

A vítima foi envolvida por meio de uma campanha de phishing para construção de relacionamento em um tópico de e-mail existente sobre a conferência.

Após a autenticação da vítima, o invasor instruiu-a pelo WhatsApp a enviar de volta a URL completa do navegador sob o pretexto de “finalizar” seu registro. Essa URL continha o código de autorização OAuth necessário para concluir o ataque.

Após obter acesso, o invasor registrou um novo dispositivo em ID de entrada da Microsoft usando o mesmo nome de um dos dispositivos legítimos da vítima e acessou arquivos do que parecia ser um dispositivo Android disfarçado de iPhone.

Volexidade depois observado o mesmo ator ampliando sua segmentação por meio de e-mails enviados de uma conta do Gmail controlada pelo invasor, direcionando os destinatários para um site de conferência falso em bsc2025[.]organização.

Recomendações

Dependendo do domínio de e-mail do alvo, os visitantes recebiam uma confirmação de registro genérica ou eram canalizados silenciosamente para uma sequência de login do Microsoft 365 projetada para coletar credenciais.

O invasor primeiro manteve uma correspondência benigna e depois enviou um convite para registrar-se nos recursos da conferência por meio de um Microsoft OAuth URL.

Uma campanha paralela falsificou o Diálogo Indo-Pacífico de Bruxelas. Os e-mails, supostamente enviados por funcionários do Centro de Segurança, Diplomacia e Estratégia da Vrije Universiteit Brussel, tinham como alvo indivíduos que trabalhavam em política externa, assuntos europeus ou que anteriormente ocupavam cargos importantes no governo dos EUA.

Após vários e-mails para construir confiança, o invasor enviou um URL exclusivo e instruiu as vítimas a enviar de volta o URL exato se encontrassem erros em outro padrão de phishing de código OAuth.

A infraestrutura incluía domínios reaproveitados, como ustrs[.]com e um site semelhante dedicado, brussels-indo-pacific-forum[.]org, que acabou direcionando os alvos para um fluxo de trabalho de phishing do Microsoft 365 Device Code disfarçado como um sistema de registro de conferência.

A análise da Volexity sugere que o UTA0355 também está fazendo experiências com infraestrutura para outros eventos significativos.

A Volexity conclui que o investimento sustentado do UTA0355 em iscas realistas com temas de eventos, comunicação multicanal via e-mail e aplicativos de mensagens e abuso de fluxos confiáveis ​​de autenticação em nuvem ressaltam tanto os recursos do ator quanto a eficácia contínua dessas técnicas contra alvos de alto valor.

Registros WHOIS vinculados ao bsc2025[.]org levou os investigadores a domínios adicionais que falsificavam a Exposição Nuclear Mundial em Paris, agendada para 4 a 6 de novembro de 2025, incluindo a exposição nuclear mundial em Paris[.]com e wne-2025[.]com.

Embora a sua utilização operacional não tenha sido confirmada, os investigadores avaliam que provavelmente estavam preparados para campanhas relacionadas ou anteriores.

Através destas operações, a UTA0355 expande sistematicamente o seu grupo-alvo, pedindo aos convidados não presentes que partilhem detalhes de contacto de colegas que possam estar interessados, criando efetivamente uma lista de vítimas selecionada.

O acesso às contas comprometidas é então roteado através de redes proxy, obscurecendo ainda mais a atribuição e a localização.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.