Hackers Russos Usam Falsos Instaladores da ESET para Disseminar Backdoor ‘Kalambur’ na Ucrânia
Quantum News 
Nova Campanha de Phishing Liga-se ao Grupo Sandworm
Uma campanha de ciberataques sofisticada, atribuída a um grupo alinhado à Rússia, está utilizando instaladores falsos do software de segurança da ESET para enganar alvos na Ucrânia. A operação, detectada em maio de 2025, distribui um backdoor poderoso chamado Kalambur, marcando mais uma escalada nas táticas de guerra cibernética direcionadas ao país.
Pesquisadores de segurança da ESET nomearam o grupo de atividade como “InedibleOchotense” e afirmam que ele possui sobreposições táticas com subgrupos do notório ator de ameaças russo Sandworm (APT44). Os ataques são disseminados através de e-mails de spear-phishing e mensagens no aplicativo Signal, explorando a reputação e o uso generalizado dos produtos da ESET na Ucrânia para aumentar a credibilidade do golpe.
Mecânica do Ataque: Da Falsa Alerta à Infecção
A isca inicial chega na forma de uma comunicação urgente, supostamente da equipe de monitoramento da ESET, alertando sobre processos suspeitos e um possível risco aos computadores da vítima. A mensagem, escrita em ucraniano com pequenos erros que sugerem o uso de tradução, instrui o alvo a baixar uma ferramenta de remoção de antivírus a partir de domínios maliciosos que imitam os sites oficiais da empresa, como esetsmart[.]com.
O instalador baixado é, na verdade, um cavalo de Troia. Embora ele instale uma versão legítima do ESET AV Remover para manter as aparências, sua função principal é implantar secretamente o backdoor Kalambur (também conhecido como SUMBUR).
Capacidades do Backdoor Kalambur
Uma vez ativo no sistema, o Kalambur se torna uma porta de entrada para os invasores. Suas principais características incluem:
- Comunicação Anônima: Utiliza a rede Tor para se comunicar com seus servidores de comando e controle (C2), dificultando o rastreamento.
- Acesso Remoto Completo: O malware é capaz de instalar o OpenSSH e habilitar o Protocolo de Área de Trabalho Remota (RDP), concedendo aos operadores acesso total e persistente à máquina comprometida.
A agência de segurança cibernética da Ucrânia, CERT-UA, já havia documentado uma campanha quase idêntica, atribuindo-a ao UAC-0125, outro subgrupo ligado ao Sandworm. Este padrão de ataque reforça a estratégia contínua do grupo em lançar campanhas destrutivas contra setores críticos da Ucrânia, incluindo governo, energia e logística, frequentemente utilizando malwares do tipo “wiper” para apagar dados.
