Đội Ứng cứu Khẩn cấp Máy tính Ukraine (CERT-UA) đã cảnh báo về các cuộc tấn công mạng có chủ đích mới trong nước sử dụng một backdoor có tên CABINETRAT.
Hoạt động này, được ghi nhận vào tháng 9 năm 2025, đã được gán cho một nhóm mối đe dọa mà họ theo dõi là UAC-0245. Cơ quan này cho biết họ đã phát hiện cuộc tấn công sau khi tìm thấy các công cụ phần mềm dưới dạng file XLL, vốn là các tiện ích bổ sung của Microsoft Excel thường được sử dụng để mở rộng chức năng của Excel với các hàm tùy chỉnh.
Điều tra sâu hơn đã phát hiện ra rằng các file XLL được phân phối trong các tệp ZIP được chia sẻ trên ứng dụng nhắn tin Signal, ngụy trang dưới dạng một tài liệu liên quan đến việc bắt giữ những cá nhân đã cố gắng vượt biên giới Ukraine.
Khi được khởi chạy, XLL được thiết kế để tạo ra một số file thực thi trên máy chủ bị xâm nhập, cụ thể là một file EXE trong thư mục Startup, một file XLL có tên "BasicExcelMath.xll" trong thư mục "%APPDATA%\Microsoft\Excel\XLSTART\", và một hình ảnh PNG có tên "Office.png."
Các sửa đổi Registry của Windows được thực hiện để đảm bảo tính dai dẳng của file thực thi, sau đó nó khởi chạy ứng dụng Excel ("excel.exe") với tham số "/e" ("/embed") ở chế độ ẩn để cuối cùng chạy tiện ích bổ sung XLL. Mục đích chính của XLL là phân tích cú pháp và trích xuất shellcode được phân loại là CABINETRAT từ file PNG.
Cả payload XLL và shellcode đều đi kèm với một số quy trình chống VM và chống phân tích để né tránh phát hiện, bao gồm kiểm tra ít nhất hai lõi xử lý và ít nhất 3GB RAM, cũng như sự hiện diện của các công cụ như VMware, VirtualBox, Xen, QEMU, Parallels và Hyper-V.
Một backdoor hoàn chỉnh được viết bằng ngôn ngữ lập trình C, CABINETRAT chủ yếu được thiết kế để thu thập thông tin hệ thống, danh sách các chương trình đã cài đặt, ảnh chụp màn hình, cũng như liệt kê nội dung thư mục, xóa các file hoặc thư mục cụ thể, chạy lệnh và thực hiện tải lên/tải xuống file. Nó giao tiếp với một máy chủ từ xa qua kết nối TCP.
Thông tin này được công bố vài ngày sau khi Fortinet FortiGuard Labs cảnh báo về các cuộc tấn công nhắm vào Ukraine bằng cách mạo danh Cảnh sát Quốc gia Ukraine trong một chiến dịch lừa đảo không file nhằm phát tán Amatera Stealer và PureMiner để thu thập dữ liệu nhạy cảm và khai thác tiền điện tử từ các hệ thống mục tiêu.
