Sve sofisticiraniji sajber-špijunski napadi na Ukrajinu, sa malwareom GIFTEDCROOK koji je evoluirao iz jednostavnog alata za krađu podataka sa web pregledača u naprednu platformu za prikupljanje obavještajnih podataka, biva sve više primijećen.
Ovaj zlonamjerni softver, prvobitno otkriven početkom 2025. godine kao osnovni “infostealer”, pretrpio je strateške nadogradnje koje se poklapaju sa geopolitičkim zbivanjima, naročito sa mirovnim pregovorima za Ukrajinu u Istanbulu, održanim u junu 2025. godine.
Grupa UAC-0226, odgovorna za razvoj i implementaciju GIFTEDCROOK-a, pokazala je izvanrednu sposobnost prilagođavanja, izdajući tri različite verzije između aprila i juna 2025. godine. Početna verzija 1 bila je usmjerena isključivo na krađu podataka iz web pregledača, dok su verzije 1.2 i 1.3 proširene da obuhvate sveobuhvatne mogućnosti za eksfiltraciju dokumenata, ciljajući osjetljive vladine i vojne informacije ukrajinskih institucija.
Analitičari Arctic Wolf-a su dokumentovali napredak ovog malwarea tokom istrage “spear-phishing” kampanja, koje su koristile uvjerljive PDF dokumente sa vojnom tematikom kao mamac, ciljajući ukrajinsko vladino i vojno osoblje. Vremensko usklađivanje ovih napada, strateški postavljenih oko ključnih diplomatskih pregovora, ukazuje na koordinisane obavještajne operacije čiji je cilj prikupljanje osjetljivih informacija tokom presudnih geopolitičkih trenutaka.
Napadači primjenjuju sofisticirane taktike društvenog inženjeringa, kreirajući uvjerljive dokumente koji se tiču procedura vojnog registrovanja i administrativnih kazni kako bi prevarili ciljane korisnike da omoguće maliciozne makroe. Ovi dokumenti, distribuirani putem e-pošte sa lažno prikazanim lokacijama u Ukrajini, naročito u Užgorodu u zapadnoj Ukrajini, sadrže opasne linkove ka datotekama hostovanim na cloud servisima, koji na kraju isporučuju GIFTEDCROOK payload.
GIFTEDCROOK verzija 1.3 demonstrira poboljšane mogućnosti malwarea kroz svoju sveobuhvatnu strategiju prikupljanja datoteka i mehanizme perzistencije. Po uspješnoj implementaciji, malware se etablira u sistemski direktorij %ProgramData%\PhoneInfo\PhoneInfo i implementira tehnike izbjegavanja mirovanja kako bi zaobišao osnovna sandbox rješenja. Malware koristi sofisticirani sistem filtriranja datoteka koji cilja dokumente izmijenjene u posljednjih 45 dana, što je značajno proširenje u odnosu na 15-dnevni prozor korišten u verziji 1.2. Ovaj vremenski mehanizam filtriranja osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata, uz održavanje operativne efikasnosti. Među ciljanim ekstenzijama datoteka nalaze se standardni uredski dokumenti (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip), te značajno, konfiguracijske datoteke OpenVPN-a (.ovpn), što ukazuje na poseban interes za vjerodajnice za mrežni pristup.
Tehnička analiza otkriva upotrebu prilagođenih XOR enkripcijskih algoritama od strane malwarea za osiguravanje prikupljenih podataka prije eksfiltracije. Proces enkripcije koristi dinamički generirane ključeve, kao što je “BPURYGBLPEWJIJJ” primijećen u analiziranim uzorcima, čime se osigurava integritet podataka tokom prenosa. Datoteke koje prelaze 20 MB automatski se dijele u uzastopne dijelove (.01, .02) radi efikasnog upload-a na određene Telegram kanale, što pokazuje brigu napadača o praktičnim ograničenjima eksfiltracije. Mehanizam eksfiltracije koristi Telegram API endpoint-e, sa specifičnim bot tokenima kao što je hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument, koji olakšavaju siguran prijenos podataka. Ovaj pristup pruža napadačima pouzdane, enkriptovane komunikacijske kanale, dok istovremeno održava operativnu sigurnost kroz legitimne platforme za razmjenu poruka.