O grupo de ciberespionagem TA406, patrocinado pelo governo da Coreia do Norte, iniciou uma nova onda de ataques cibernéticos voltados a entidades governamentais da Ucrânia. Segundo relatório da Proofpoint, empresa global de segurança cibernética e compliance, os ataques começaram em fevereiro de 2025 e combinam campanhas de phishing com entrega de malware e coleta de credenciais.
A principal motivação do TA406 é a obtenção de inteligência estratégica sobre a invasão russa à Ucrânia. O grupo, também monitorado sob os nomes Opal Sleet e Konni por outras fontes de pesquisa em cibersegurança, utiliza e-mails com remetentes falsos que se passam por membros de think tanks para atrair o clique de alvos sensíveis.
“O conteúdo da isca é fortemente baseado em eventos recentes na política interna ucraniana”, revela o relatório da Proofpoint.
Tática de engenharia social com remetentes fictícios
A investigação mostra que o TA406 utiliza serviços gratuitos de e-mail para enviar mensagens fraudulentas com aparência legítima. Em um dos episódios, o grupo personificou um pesquisador sênior de um suposto think tank chamado Royal Institute of Strategic Studies, que, na realidade, é uma entidade fictícia.
O e-mail fraudulento inclui um link para o serviço de hospedagem MEGA, onde é armazenado um arquivo compactado (RAR), protegido por senha. Uma vez aberto, o conteúdo do arquivo ativa uma cadeia de infecção com comandos PowerShell, realizando reconhecimento no host da vítima.
Quando os alvos não clicam nos links imediatamente, os operadores do TA406 enviam e-mails de seguimento, questionando se o conteúdo anterior foi recebido, numa tentativa de aumentar a taxa de sucesso dos ataques.
Coleta de credenciais com alertas falsos da Microsoft
Além da entrega de malware, a Proofpoint identificou uma campanha anterior voltada à coleta de credenciais. O TA406 enviou e-mails forjando alertas de segurança da Microsoft, alegando atividades suspeitas de login em contas das vítimas. As mensagens, enviadas a partir de contas Proton Mail, direcionavam as vítimas para um domínio comprometido: jetmf[.]com.
Embora a página de coleta de credenciais não estivesse acessível durante a análise, o domínio já havia sido usado em campanhas anteriores contra usuários do portal sul-coreano Naver, alinhando-se com o histórico de atuação do TA406.
Objetivo estratégico e geopolítico dos ataques
A motivação por trás dessas ações está diretamente relacionada ao envolvimento da Coreia do Norte no conflito russo-ucraniano. De acordo com a Proofpoint, o TA406 busca entender o comprometimento ucraniano na guerra e antecipar os próximos movimentos do conflito, com foco na segurança das tropas norte-coreanas enviadas à região.
“A Coreia do Norte comprometeu tropas para auxiliar a Rússia no outono de 2024”, diz o relatório. “O TA406, provavelmente, está reunindo informações para ajudar a liderança norte-coreana a determinar o risco atual para suas forças já no teatro de operações.”
Diferente dos grupos russos, que operam no nível tático, o TA406 se concentra na coleta de dados estratégicos e políticos. Seu interesse recai especialmente sobre informações que possam antecipar decisões militares e políticas, como pedidos russos por mais tropas ou armamentos.
