구글의 위협 분석 그룹(TAG)과 맨디언트가 우크라이나 군인들의 사기를 저하시킬 목적으로 설계된 러시아의 스파이 및 영향력 캠페인에 대한 조사 결과를 발표함.
이 그룹은 UNC5812로 명명되었으며, 징집을 반대하는 '민간 방어'라는 이름의 그룹을 설립하고, 예비 징집자들이 우크라이나 군 모집자의 실시간 위치를 확인할 수 있도록 하는 앱과 소프트웨어를 제공함.
하지만 이 애플리케이션은 구글 TAG와 맨디언트가 SUNSPINNER로 추적한 미끼 맵핑 애플리케이션과 함께 악성코드를 배포함.
“캠페인의 궁극적인 목표는 피해자들이 UNC5812가 통제하는 '민간 방어' 웹사이트로 이동하게 하는 것”이라고 구글 위협 정보 블로그는 설명함. 이 웹사이트는 다양한 운영 체제를 위한 여러 소프트웨어 프로그램을 광고함.
민간 방어 웹사이트는 2024년 4월에 설립되었으나, 웹사이트로 많은 사용자를 유도하는 텔레그램 계정은 2024년 9월에만 설정됨.
이 그룹은 인기 있는 텔레그램 그룹에 스폰서 게시물을 지불하여, 그 중 하나는 80,000명의 구독자에게 미사일 경고를 전달하는 데 사용됨.
사용자들이 웹사이트로 유도되면, 그들은 우크라이나 군 모집자의 실시간 위치 업데이트를 위한 맵핑 소프트웨어로 예상되는 다양한 운영 체제를 위한 파일 선택을 하게 됨. 그러나 사용자는 SUNSPINNER 악성코드와 정보 탈취 프로그램에 감염된 자신의 기기를 발견하게 됨.
이 웹사이트는 애플리케이션이 앱 스토어에서 제공되지 않는 이유를 설명하며, 웹사이트를 통해 애플리케이션을 다운로드함으로써 민간 방어가 사용자들의 익명성과 보안을 보호할 것이라고 주장함. 또한 애플리케이션 설치 방법과 구글 플레이 보호를 비활성화하는 방법에 대한 비디오 지침도 포함됨.
민간 방어 텔레그램 페이지는 또한 “영향력 있는 징집 센터의 불공정한 행동”에 대한 사용자 비디오 제출을 요청하며, 민간 방어는 이를 게시하여 반징집 메시지를 강화하고 더 많은 사람들이 군 모집 모니터링 앱을 다운로드하도록 유도할 수 있음.
SUNSPINNER 앱은 우크라이나 모집자를 위한 크라우드소싱 마커 위치를 보여주는 미끼 GUI로 구성됨. 마커 위치는 합법적으로 보이지만, 구글 TAG와 맨디언트는 모든 마커가 같은 날 한 사람에 의해 추가되었다고 발견함.
악성코드 및 영향력 캠페인은 여전히 진행 중이며, 이 그룹을 위한 스폰서 게시물이 최근 10월 8일 우크라이나 뉴스 채널에 등장함.
