APT28 intensifica phishing contra energia e defesa

O grupo APT28, associado ao Estado russo, está a conduzir uma nova campanha de phishing com o objetivo de recolher credenciais de organizações ligadas à investigação energética, cooperação em defesa e comunicações governamentais, segundo um relatório da Recorded Future.

Ativo desde pelo menos 2004 e conhecido por múltiplos nomes, incluindo Fancy Bear, Sednit e Sofacy, o APT28 tem sido associado ao serviço de informações militares russo (GRU). O grupo é historicamente conhecido por operações contra entidades governamentais, militares, energéticas e de media nos Estados Unidos e na Europa.

A campanha recorre a páginas de phishing que imitam serviços amplamente utilizados, como Microsoft Outlook Web Access (OWA), Google e portais de VPN da Sophos. Após a introdução das credenciais, as vítimas são redirecionadas para os domínios legítimos, reduzindo a probabilidade de deteção imediata do ataque.

De acordo com a Recorded Future, os atacantes abusam extensivamente de serviços gratuitos de alojamento, tunelling e encurtamento de URL, incluindo Webhook[.]site, InfinityFree, Byet Internet Services, Ngrok e ShortURL. Esta abordagem permite reduzir custos operacionais e dificultar a atribuição da infraestrutura maliciosa.

Em campanhas observadas ao longo de 2025, o grupo utilizou documentos PDF como isco, apresentados temporariamente no browser antes do redirecionamento para páginas falsas de autenticação. O código JavaScript embutido nas páginas permite recolher credenciais e informação contextual das vítimas, que é enviada para serviços de webhook controlados pelos atacantes.

A atividade teve como alvos investigadores e cientistas ligados a uma agência turca de investigação energética e nuclear, um think tank europeu, bem como entidades na Macedónia do Norte e no Uzbequistão. Foram igualmente identificadas páginas falsas em língua portuguesa, a imitar serviços Google, o que sugere um alargamento geográfico do foco da campanha.

Num dos casos analisados, o APT28 explorou serviços Ngrok para expor formulários de recolha de credenciais alojados atrás de infraestruturas temporárias, uma técnica que permite contornar controlos de rede sem necessidade de alterações nas regras de firewall.

Segundo a Recorded Future, a capacidade demonstrada pelo grupo para adaptar rapidamente a sua infraestrutura e reformular páginas de phishing indica que vai continuar a explorar serviços gratuitos e legítimos para sustentar operações de recolha de credenciais, mantendo um baixo perfil operacional e dificultando a resposta defensiva das organizações visadas.