Seguir 
Desde janeiro de 2026, o CERT-UA tem monitorado uma série de intrusões atribuídas ao UAC-0252 e construídas em torno dos infostealers SHADOWSNIFF e SALATSTEALER. As campanhas dependem de iscas de phishing bem desenvolvidas, preparação de payloads em infraestrutura legítima e execução dirigida pelo usuário de arquivos EXE disfarçados.
Detectar Ataques UAC-0252 Cobertos no CERT-UA#20032
De acordo com o Trends de Phishing Q2 2025 pesquisa da Check Point, o phishing continua sendo uma ferramenta central para os cibercriminosos, e a personificação de marcas amplamente confiáveis e de alto uso continua a crescer. Contra o pano de fundo de operações mais coordenadas e sofisticadas voltadas para infraestrutura crítica e organizações governamentais, a CISA publicou seu Plano Estratégico Internacional 2025–2026 para avançar na redução global de riscos e melhorar a resiliência coletiva.
Cadastre-se na Plataforma SOC Prime para defender proativamente sua organização contra ataques UAC-0252. Basta pressionar Explore Detecções abaixo e acesse uma pilha de regras de detecção relevante, enriquecida com AI-nativa CTI, mapeada para o framework MITRE ATT&CK®, e compatível com uma ampla gama de tecnologias SIEM, EDR e Data Lake.
Especialistas em segurança também podem usar a tag “CERT-UA#20032” baseada no identificador de alerta CERT-UA relevante para pesquisar a pilha de detecção diretamente e rastrear quaisquer mudanças de conteúdo. Para mais regras de detecção de ataques relacionados a adversários, os defensores cibernéticos podem buscar na biblioteca do Threat Detection Marketplace usando a tag “UAC-0252“.
Os usuários do SOC Prime também podem contar com Uncoder AI para criar detecções a partir de relatórios de ameaças brutas, documentar e otimizar o código de regras, e gerar Attack Flows em alguns cliques. Ao aproveitar a inteligência de ameaças do mais recente alerta CERT-UA, as equipes podem facilmente converter IOCs em consultas otimizadas para desempenho prontas para caça no ambiente SIEM ou EDR escolhido.
Analisando Ataques UAC-0252 Usando SHADOWSNIFF e SALATSTEALER
Desde janeiro de 2026, o CERT-UA tem monitorado campanhas de phishing repetidas visando entidades na Ucrânia. As mensagens de email são elaboradas para personificar órgãos centrais do governo ou administrações regionais e tipicamente urgem os destinatários a atualizar aplicativos móveis usados em sistemas civis e militares amplamente implantados.
O alerta CERT-UA#20032 descreve dois caminhos comuns de entrega. No primeiro, o email inclui um arquivo anexado que contém um arquivo EXE. O atacante conta com o destinatário para abrir o arquivo e executar o executável. No segundo, o email contém um link para um site legítimo que é vulnerável a cross-site scripting (XSS). Quando a vítima visita a página, o JavaScript injetado é executado no navegador e baixa um arquivo executável no computador. Em ambos os cenários, o CERT-UA observa que os arquivos EXE e scripts estão hospedados no serviço legítimo do GitHub, o que ajuda a atividade a se misturar ao tráfego normal da web e torna o bloqueio básico de domínios menos eficaz em muitos ambientes.
Durante janeiro e fevereiro de 2026, o CERT-UA confirmou que a atividade usou várias ferramentas maliciosas, incluindo SHADOWSNIFF, SALATSTEALER e DEAFTICK.
SHADOWSNIFF foi relatado como hospedado no GitHub, enquanto o SALATSTEALER é comumente descrito como um infostealer baseado em Go que tem como alvo credenciais de navegador, rouba sessões ativas e coleta dados relacionados a criptomoedas, operando sob um modelo Malware-as-a-Service (MaaS). No mesmo conjunto de ferramentas, o CERT-UA também relatou o DEAFTICK, um backdoor primitivo escrito em Go que provavelmente ajuda os atacantes a manter acesso básico em hosts comprometidos e dar suporte a ações subsequentes.
Durante a análise do repositório, o CERT-UA reporta ter descoberto um programa com características de um cifrador de ransomware, internamente nomeado «AVANGARD ULTIMATE v6.0». O mesmo ecossistema GitHub também continha um arquivo com um exploit para WinRAR (CVE-2025-8088), um problema de travessia de caminho no WinRAR do Windows que pode permitir a execução de código arbitrário via arquivos criados e tem sido relatado como explorado em campo. Isso sugere que os operadores estavam não apenas roubando credenciais, mas também experimentando ferramentas adicionais que poderiam ampliar o impacto.
Com base nos detalhes da investigação e nas sobreposições de ferramentas, incluindo experimentos com instrumentos disponíveis publicamente, o CERT-UA vincula a atividade descrita a indivíduos discutidos no canal «PalachPro» do Telegram, enquanto continua a rastrear a campanha sob UAC-0252.
Contexto MITRE ATT&CK
Aproveitando o MITRE ATT&CK oferece uma visão aprofundada das últimas campanhas de phishing UAC-0252 visando entidades ucranianas. A tabela abaixo exibe todas as regras Sigma relevantes mapeadas para as táticas, técnicas e sub-técnicas associadas ATT&CK. Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
