Repórteres de ONG francesa Sem Fronteiras alvo da Star Blizzard

Repórteres de ONG francesa Sem Fronteiras alvo da Star Blizzard

Uma nova onda de atividade de spear-phishing ligada ao conjunto de intrusão Rússia-nexus Star Blizzard, também conhecido como ColdRiver ou Calisto, foi identificado por pesquisadores de cibersegurança.

O grupo está ativo desde 2017 e é atribuído por vários governos ocidentais ao Centro 18 do FSB da Rússia.

De acordo com um Nova análise pela equipe TDR da Sekoia.io, os incidentes mais recentes foram reportados em maio e junho de 2025 por duas organizações, incluindo a Repórteres Sem Fronteiras (RSF), o que levou a uma análise mais detalhada de como as operadoras refinaram suas técnicas de coleta de credenciais.

Um conjunto de intrusão familiar expande seu foco

A nova série de tentativas de phishing acompanha o foco de longa data da Star Blizzard em entidades ocidentais que apoiam a Ucrânia.

O grupo é conhecido por se passar por contatos confiáveis e por incentivar os alvos a solicitarem anexos ausentes ou com defeito. Assim que a vítima solicita o arquivo, o atacante envia uma segunda mensagem contendo um link para malware ou uma página de phishing.

Em um caso envolvendo a RSF em março de 2025, um endereço do ProtonMail que imitava um contato legítimo enviou um e-mail em francês pedindo a um membro central que revisasse um documento. Nenhum arquivo foi anexado.

Quando o membro solicitava, os operadores respondiam em inglês com um link roteado por um site comprometido até uma URL do ProtonDrive. No entanto, o arquivo em si não pôde ser recuperado porque o ProtonMail havia bloqueado a conta associada.

Leia mais: Hackers russos Coldriver Implantam Novo Malware ‘NoRobot’

Uma segunda vítima recebeu um arquivo rotulado como PDF que na verdade era um arquivo ZIP disfarçado com uma extensão .pdf. A etapa final do ataque usou um PDF típico de isca da Calisto que alegava ser criptografado e instruía o usuário a abri-lo no ProtonDrive. O link novamente enviou o alvo por meio de um rediretor hospedado em um site comprometido.

A infraestrutura indica atividade contínua

O kit de phishing analisado pelo TDR, localizado em account.simpleasip[.]org, parecia ser feito sob medida.

Ele tinha como alvo contas ProtonMail usando um Adversário-in-Meio Configuração (AiTM) que retransmite autenticação em dois fatores (2FA). Analistas encontraram JavaScript injetado projetado para manter o cursor travado no campo de senha e interagir com uma API controlada por atacantes para lidar com prompts CAPTCHA e 2FA.

Observações principais incluíram:

  • Elementos modificados da interface ProtonMail

  • Foco persistente no campo de senha

  • Processamento de credenciais baseado em API

A infraestrutura da Star Blizzard incluía servidores hospedando páginas de phishing e outros servindo como endpoints da API. Muitos domínios estavam vinculados aos serviços da Namecheap, enquanto alguns anteriores foram registrados via Regway para ajudar os analistas a acompanhar o cluster ao longo do tempo.

“Apesar de inúmeras publicações sobre esse agente ameaçador, a Calisto continua suas campanhas de spear-phishing para coleta de credenciais ou execução de código via técnica ClickFix”, alertou Sekoia.

“Estamos à disposição de qualquer ONG que deseje analisar e/ou atribuir campanhas de ataque a um conjunto de atividades.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.