Các tác nhân đe dọa do nhà nước Nga hậu thuẫn đã được liên kết với một loạt các cuộc tấn công thu thập thông tin xác thực mới, nhắm vào các cá nhân liên quan đến một cơ quan nghiên cứu năng lượng và hạt nhân của Thổ Nhĩ Kỳ, cũng như nhân viên thuộc một tổ chức tư vấn châu Âu và các tổ chức ở Bắc Macedonia và Uzbekistan.
Hoạt động này được cho là do APT28 (còn gọi là BlueDelta) thực hiện, vốn được quy cho một chiến dịch thu thập thông tin xác thực kéo dài nhắm vào người dùng UKR[.]net vào tháng trước. APT28 có liên quan đến Tổng cục Tình báo của Bộ Tổng tham mưu Lực lượng Vũ trang Liên bang Nga (GRU).
"Việc sử dụng tài liệu mồi nhử bằng tiếng Thổ Nhĩ Kỳ và nhắm mục tiêu theo khu vực cho thấy BlueDelta đã điều chỉnh nội dung của mình để tăng độ tin cậy giữa các đối tượng chuyên nghiệp và địa lý cụ thể," Insikt Group của Recorded Future cho biết. "Những lựa chọn này phản ánh sự quan tâm liên tục đến các tổ chức liên quan đến nghiên cứu năng lượng, hợp tác quốc phòng và mạng lưới liên lạc chính phủ có liên quan đến các ưu tiên tình báo của Nga."
Công ty an ninh mạng mô tả các cuộc tấn công nhắm vào một nhóm nạn nhân nhỏ nhưng khác biệt vào tháng 2 và tháng 9 năm 2025, với chiến dịch tận dụng các trang đăng nhập giả mạo được tạo kiểu để giống các dịch vụ phổ biến như Microsoft Outlook Web Access (OWA), Google và các cổng Sophos VPN.
Những nỗ lực này đáng chú ý vì người dùng không nghi ngờ sẽ được chuyển hướng đến các trang web hợp pháp sau khi thông tin xác thực được nhập vào các trang đích giả mạo, từ đó tránh gây ra bất kỳ dấu hiệu đáng ngờ nào. Các chiến dịch này cũng được phát hiện đã dựa nhiều vào các dịch vụ như Webhook[.]site, InfinityFree, Byet Internet Services và ngrok để lưu trữ các trang lừa đảo, trích xuất dữ liệu bị đánh cắp và kích hoạt chuyển hướng.
Trong một nỗ lực khác nhằm tạo vỏ bọc hợp pháp, các tác nhân đe dọa được cho là đã sử dụng các tài liệu mồi nhử PDF hợp pháp, bao gồm một ấn phẩm từ Trung tâm Nghiên cứu Vùng Vịnh liên quan đến cuộc chiến tranh Iran-Israel tháng 6 năm 2025 và một bản tóm tắt chính sách tháng 7 năm 2025 kêu gọi một hiệp ước mới cho Địa Trung Hải được phát hành bởi tổ chức tư vấn về biến đổi khí hậu ECCO.
Chuỗi tấn công chi tiết
Chuỗi tấn công bắt đầu bằng một email lừa đảo chứa một liên kết rút gọn, khi nhấp vào, sẽ chuyển hướng nạn nhân đến một liên kết khác được lưu trữ trên Webhook[.]site. Trang này hiển thị tài liệu mồi nhử trong khoảng hai giây trước khi chuyển hướng đến một Webhook[.]site thứ hai lưu trữ trang đăng nhập Microsoft OWA giả mạo.
Trong trang này có một phần tử form HTML ẩn lưu trữ URL của Webhook[.]site và sử dụng JavaScript để gửi một "page opened" beacon, truyền thông tin xác thực đã gửi đến endpoint của Webhook và cuối cùng chuyển hướng trở lại PDF được lưu trữ trên trang web thực tế.
Các chiến dịch khác của APT28
APT28 cũng đã được quan sát thấy thực hiện ba chiến dịch khác:
- Một chiến dịch vào tháng 6 năm 2025 đã triển khai một trang thu thập thông tin xác thực giả mạo trang đặt lại mật khẩu Sophos VPN được lưu trữ trên cơ sở hạ tầng do InfinityFree cung cấp để thu thập thông tin xác thực được nhập vào biểu mẫu và chuyển hướng nạn nhân đến một cổng Sophos VPN hợp pháp thuộc một tổ chức tư vấn E.U. giấu tên.
- Một chiến dịch vào tháng 9 năm 2025 đã sử dụng các trang thu thập thông tin xác thực được lưu trữ trên các tên miền InfinityFree để cảnh báo sai người dùng về mật khẩu đã hết hạn nhằm lừa họ nhập thông tin xác thực và chuyển hướng đến một trang đăng nhập hợp pháp liên quan đến một tổ chức quân sự ở Cộng hòa Bắc Macedonia và một nhà tích hợp IT có trụ sở tại Uzbekistan.
- Một chiến dịch vào tháng 4 năm 2025 đã sử dụng một trang đặt lại mật khẩu Google giả mạo được lưu trữ trên Byet Internet Services để thu thập thông tin xác thực của nạn nhân và trích xuất chúng đến một URL ngrok.
"Việc BlueDelta lạm dụng nhất quán cơ sở hạ tầng dịch vụ internet hợp pháp cho thấy nhóm này tiếp tục phụ thuộc vào các dịch vụ dùng một lần để lưu trữ và chuyển tiếp dữ liệu thông tin xác thực," công ty thuộc sở hữu của Mastercard cho biết. "Các chiến dịch này nhấn mạnh cam kết bền vững của GRU trong việc thu thập thông tin xác thực như một phương pháp chi phí thấp, lợi nhuận cao để thu thập thông tin hỗ trợ các mục tiêu tình báo của Nga."
