Hackers norte-coreanos atacam governo ucraniano em campanha de espionagem pró-Rússia

Um novo relatório da empresa de cibersegurança Proofpoint revelou que hackers norte-coreanos estão conduzindo uma campanha de espionagem direcionada ao governo ucraniano, em apoio à Rússia. A operação, atribuída ao grupo TA406, utiliza e-mails de phishing para comprometer contas de funcionários públicos ucranianos.

De acordo com o relatório, os ataques do TA406 começaram em março de 2025 e visam principalmente entidades governamentais ucranianas. Os hackers utilizam e-mails com temas relacionados à guerra na Ucrânia para enganar as vítimas e induzi-las a clicar em links maliciosos ou abrir anexos infectados.

Diferentemente de ataques maiores que espalham vírus de forma aleatória, o TA406 adota uma abordagem mais refinada, utilizando técnicas de engenharia social para enganar alvos estratégicos. Os ataques mais recentes contra a Ucrânia foram realizados por meio de campanhas de phishing, nas quais os criminosos enviam e-mails cuidadosamente disfarçados para parecer mensagens legítimas — muitas vezes com temas ligados à guerra, ajuda internacional ou reuniões diplomáticas.

Os e-mails enviados pelos hackers geralmente incluem:

- Links maliciosos que direcionam para páginas falsas, usadas para capturar s e senhas;

- Anexos infectados (como PDFs ou documentos do Word) com códigos embutidos que, ao serem abertos, instalam programas espiões;

- Perfis falsos se ando por jornalistas, pesquisadores ou diplomatas para ganhar a confiança das vítimas.

Uma das técnicas mais usadas pelo TA406 é o spear phishing, que consiste em e-mails altamente personalizados, baseados em informações públicas ou vazadas sobre a vítima. Isso aumenta as chances de o alvo cair no golpe — especialmente em ambientes de crise e guerra, como o atual cenário ucraniano.

Espionagem clássica, mas digital

Segundo o relatório da Proofpoint, o grupo TA406 é um conjunto de cibercriminosos apoiado pelo regime norte-coreano, conhecido por conduzir campanhas de espionagem altamente direcionadas contra governos, diplomatas, militares e entidades ligadas a políticas de segurança internacional, sem interesse em ataques rápidos ou visíveis.

O grupo busca o prolongado e silencioso aos sistemas das vítimas, para monitorar comunicações, extrair documentos estratégicos e coletar inteligência que possa ser útil à Coreia do Norte — ou, nesse caso, à Rússia.

A presença do TA406 na campanha contra a Ucrânia levanta um sinal de alerta: a possível colaboração indireta entre Coreia do Norte e Rússia no ciberespaço. Embora não haja provas diretas de coordenação, os alvos e o timing das ações apontam para um alinhamento de interesses — Moscou se beneficia da coleta de dados sensíveis, enquanto Pyongyang testa e aprimora suas capacidades de guerra cibernética.

A Proofpoint é uma empresa líder em cibersegurança que protege as organizações contra seus maiores riscos e seus ativos mais valiosos: suas equipes. Com sede em Sunnyvale, Califórnia, a empresa oferece soluções baseadas em nuvem para proteção contra ameaças avançadas.