Un attore minaccioso legato alla Russia ĆØ stato osservato nellāutilizzo di un nuovo malware per rubare informazioni nelle attacchi informatici contro lāUcraina. Battezzato Graphiron da Symantec, posseduta da Broadcom, il malware ĆØ opera di un gruppo di spionaggio conosciuto come Nodaria, che ĆØ tracciato dal Computer Emergency Response Team dellāUcraina (CERT-UA) come UAC-0056. Il malware ĆØ scritto in Go e progettato per raccogliere una vasta gamma di informazioni dal computer infetto, comprese informazioni sul sistema, credenziali, screenshot e file. Nodaria ĆØ stato evidenziato per la prima volta da CERT-UA a gennaio 2022, mettendo in luce lāutilizzo dei malware SaintBot e OutSteel negli attacchi di spear-phishing contro le entitĆ governative. Il gruppo, attivo almeno daprile 2021, ha ripetutamente impiegato backdoor personalizzati come GraphSteel e GrimPlant in diverse campagne in seguito allāinvasione militare della Russia in Ucraina. Alcune intrusioni hanno anche comportato la consegna di Cobalt Strike Beacon per la post-esplorazione.
Graphiron, il programma piĆ¹ recente aggiunto allāarsenale del gruppo, ĆØ una versione migliorata di GraphSteel, che include funzionalitĆ per eseguire comandi shell e raccogliere informazioni sul sistema, file, credenziali, screenshot e chiavi SSH. Un altro aspetto degno di nota ĆØ che mentre GraphSteel e GrimPlant hanno fatto uso di Go versione 1.16, Graphiron si basa sulla versione 1.18, che ĆØ stata ufficialmente spedita a marzo 2022. CiĆ² suggerisce anche che Graphiron ĆØ uno sviluppo piĆ¹ recente. Le prime prove dellāutilizzo di Graphiron risalgono a ottobre 2022 e sono state impiegate in attacchi fino almeno a metĆ gennaio 2023. Inoltre, unāanalisi delle catene di infezione rivela la presenza di due fasi, un downloader responsabile per il recupero di un payload crittografato che contiene il malware Graphiron da un server remoto. Con gli ultimi risultati, Nodaria si unisce ad un altro gruppo sponsorizzato dallo stato russo noto come Gamaredon che si concentra esclusivamente sullāUcraina. Symantec ha affermato: āSebbene Nodaria fosse relativamente sconosciuta prima dellāinvasione russa in Ucraina, lāalta attivitĆ del gruppo negli ultimi anni suggerisce che sia ora uno dei principali attori nei continui campagne informatiche della Russia contro lāUcrainaā.