Sinds december 2020 is een collectief van cyberaanvallers, bekend onder de naam Red Stinger, verantwoordelijk voor verschillende geraffineerde aanvallen met voortdurende dreiging (APT) op Oost-Europese militaire, scheepvaart- en vitale infrastructuurdoelen. Malwarebytes, een cyberbeveiligingsbedrijf, heeft onthuld dat Red Stinger zich richtte op entiteiten die betrokken waren bij de referenda in september in Oost-Oekraïne en erin slaagde gevoelige gegevens te stelen, zoals snapshots, USB-schijven, toetsenbordaanslagen en microfoonopnames, afhankelijk van de campagne.

Lees ook: Atomic macOS Malware: Uw wachtwoorden en cryptoportefeuilles stelen

De APT-groep, die overlapt met een ander dreigingscluster dat bekend staat als Bad Magic, heeft zich sinds 2020 gericht op overheids-, landbouw- en transportorganisaties in Donetsk, Lugansk en de Krim. De eerste operatie vond plaats in december 2020, en er zijn aanwijzingen dat de groep ten minste sinds september 2021 actief is. De laatste geregistreerde actie van de organisatie vond plaats in september 2022, wat ook het begin was van de gewapende invasie van Rusland in Oekraïne.

Op gehackte machines laat de aanvalsketen het DBoxShell (PowerMagic) implantaat vallen met behulp van frauduleuze installatiebestanden. Binnen een ZIP-pakket wordt een Windows-snelkoppeling gebruikt om het MSI-bestand te downloaden. De groep heeft ook alternatieve implantaten gebruikt zoals GraphShell, dat de Microsoft Graph API gebruikt voor command-and-control (C&C) doeleinden.

De bende gebruikte tools zoals ngrok, rsockstun en een binair bestand om informatie van slachtoffers te stelen naar een Dropbox-account onder controle van een acteur. Hoewel de exacte omvang van de infecties onbekend is, zijn er aanwijzingen dat twee slachtoffers, een militair slachtoffer en een ambtenaar die in belangrijke faciliteiten werkte, in februari 2022 in Midden-Oekraïne waren gehackt. Na een periode van observatie stalen de potentiële agenten in beide gevallen schermafbeeldingen, microfoonopnames en kantoorbestanden.

De motivaties achter de aanvallen blijven onbekend, hoewel de aanvallers hun Windows 10-machines in december 2022 besmetten, waarschijnlijk voor testdoeleinden. De keuze van de groep voor de thermometerschaal van Fahrenheit en het Engels als hoofdtaal toont aan dat het om moedertaalsprekers van het Engels ging.

De deskundigen stellen dat het moeilijk is om de aanval op een bepaald land toe te wijzen, aangezien sommige slachtoffers Rusland steunden en andere Oekraïne. De belangrijkste doelen van de aanval waren monitoring en gegevensverzameling en de daders beschermden hun slachtoffers met verschillende verdedigingsmiddelen en krachtige instrumenten. De aanval was gericht op specifieke entiteiten.