SiribClone: Nova Ameaça Cibernética Espiã Mira Militares Russos com Táticas de Engenharia Social e Roubo de Dados
Uma nova campanha de ciberespionagem, apelidada de SiribClone, tem como alvo militares russos utilizando táticas sofisticadas de engenharia social, aplicativos de 'compartilhamento seguro de fotos' e roubo de contas do Telegram. A operação visa a coleta de informações sensíveis para fins de espionagem militar.
MundiX News·05 de junho de 2026·8 min de leitura·👁 17 views
A equipe de Threat Intelligence da F6 divulgou um estudo detalhado sobre as atividades de um novo grupo de cibercriminosos, denominado SiribClone, que tem direcionado suas operações contra militares russos. Este grupo representa uma ameaça significativa, pois os militares das Forças Armadas da Federação Russa continuam sendo alvos prioritários para atividades de espionagem e fraude cibernética. A descoberta da infraestrutura do SiribClone foi possível a partir da análise de um arquivo suspeito encontrado em fevereiro de 2026. O nome do grupo, SiribClone, deriva de metadados de um dos atacantes e do uso da ferramenta rclone, uma utilidade de linha de comando de código aberto para interagir com serviços de armazenamento em nuvem. Embora o número de amostras públicas detectadas seja limitado, a investigação indica que os atacantes vinham testando suas ferramentas desde dezembro de 2025, com os primeiros indícios de atividades de phishing datando do verão de 2025.
O SiribClone emprega uma abordagem multifacetada para disseminar malware, visando tanto dispositivos desktop quanto móveis. As iscas utilizadas incluem aplicativos disfarçados de 'compartilhamento seguro de fotos' e outros serviços, além de documentos com temática militar. Uma tática particularmente notável é o uso intensivo de engenharia social para obter acesso a contas do Telegram de militares russos. Membros do grupo se passam por mulheres interessadas em iniciar relacionamentos ou por voluntários, estabelecendo contato direto com os alvos através do Telegram e outras plataformas populares. Essa atividade foi observada principalmente entre janeiro e fevereiro de 2026, mas artefatos de rede sugerem que o phishing via Telegram tem sido utilizado pelo SiribClone desde o verão de 2025 até o presente. Em maio de 2026, após um período de aparente inatividade, novas amostras do malware foram descobertas, distribuídas através de um site que imitava a temática do Dia da Vitória, especificamente o evento 'Regimento Imortal'.
A análise técnica revelou que o ponto de partida da investigação foi um arquivo .zip chamado 'Решение по СВОДУ.zip', baixado do Google Drive. Este arquivo continha um atalho (.lnk) que, ao ser executado, abria um documento disfarçado de 'Решение по СВОДУ.docx' e, simultaneamente, executava um script PowerShell baixado do GitHub. Este script, denominado REA.md, carrega um array de bytes em memória, que representa uma .NET assembly. Essa assembly atua como um loader, baixando e executando um arquivo DLL chamado vmngr.dll a partir de outro repositório do GitHub. A vmngr.dll, apelidada de SiribGrabber, é o componente principal responsável pela exfiltração de dados. Ela se conecta a um servidor de Comando e Controle (C2) para obter sua configuração, que é baixada de um URL específico após ser descriptografada. A ferramenta rclone é utilizada para transferir os arquivos coletados para um armazenamento remoto controlado pelos atacantes. A configuração do rclone é personalizada com detalhes de conexão SFTP, incluindo IP, usuário, porta e senha, obtidos da configuração baixada. O malware então coleta informações de discos lógicos, aplicando filtros para selecionar arquivos específicos (documentos, planilhas, imagens, vídeos, arquivos compactados, executáveis, etc.) e os exfiltra para um diretório remoto com a estrutura /rc/{computername}--{machine_guid}/. Para garantir a persistência, o malware cria arquivos .bat e .ps1 que são registrados no agendador de tarefas do Windows, garantindo a execução contínua após reinicializações do sistema. A investigação também identificou perfis do GitHub associados aos atacantes, revelando um histórico de testes e desenvolvimento de ferramentas, incluindo scripts para roubo de sessões do Telegram. A infraestrutura de rede associada ao SiribClone inclui múltiplos endereços IP que hospedam páginas de login falsas para roubo de credenciais do Telegram e um painel interno, denominado 'КОНТУР', utilizado pelos atacantes para visualizar e gerenciar as contas comprometidas. As anotações encontradas neste painel indicam que o alvo principal são militares russos em zonas de fronteira e na zona de operações especiais, reforçando a hipótese de que o objetivo é a espionagem militar.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A equipe de Threat Intelligence da F6 divulgou um estudo detalhado sobre as atividades de um novo grupo de cibercriminosos, denominado SiribClone, que tem direcionado suas operações contra militares russos. Este grupo representa uma ameaça significativa, pois os militares das Forças Armadas da Federação Russa continuam sendo alvos prioritários para atividades de espionagem e fraude cibernética. A descoberta da infraestrutura do SiribClone foi possível a partir da análise de um arquivo suspeito encontrado em fevereiro de 2026. O nome do grupo, SiribClone, deriva de metadados de um dos atacantes e do uso da ferramenta rclone, uma utilidade de linha de comando de código aberto para interagir com serviços de armazenamento em nuvem. Embora o número de amostras públicas detectadas seja limitado, a investigação indica que os atacantes vinham testando suas ferramentas desde dezembro de 2025, com os primeiros indícios de atividades de phishing datando do verão de 2025.
O SiribClone emprega uma abordagem multifacetada para disseminar malware, visando tanto dispositivos desktop quanto móveis. As iscas utilizadas incluem aplicativos disfarçados de 'compartilhamento seguro de fotos' e outros serviços, além de documentos com temática militar. Uma tática particularmente notável é o uso intensivo de engenharia social para obter acesso a contas do Telegram de militares russos. Membros do grupo se passam por mulheres interessadas em iniciar relacionamentos ou por voluntários, estabelecendo contato direto com os alvos através do Telegram e outras plataformas populares. Essa atividade foi observada principalmente entre janeiro e fevereiro de 2026, mas artefatos de rede sugerem que o phishing via Telegram tem sido utilizado pelo SiribClone desde o verão de 2025 até o presente. Em maio de 2026, após um período de aparente inatividade, novas amostras do malware foram descobertas, distribuídas através de um site que imitava a temática do Dia da Vitória, especificamente o evento 'Regimento Imortal'.
A análise técnica revelou que o ponto de partida da investigação foi um arquivo .zip chamado 'Решение по СВОДУ.zip', baixado do Google Drive. Este arquivo continha um atalho (.lnk) que, ao ser executado, abria um documento disfarçado de 'Решение по СВОДУ.docx' e, simultaneamente, executava um script PowerShell baixado do GitHub. Este script, denominado REA.md, carrega um array de bytes em memória, que representa uma .NET assembly. Essa assembly atua como um loader, baixando e executando um arquivo DLL chamado vmngr.dll a partir de outro repositório do GitHub. A vmngr.dll, apelidada de SiribGrabber, é o componente principal responsável pela exfiltração de dados. Ela se conecta a um servidor de Comando e Controle (C2) para obter sua configuração, que é baixada de um URL específico após ser descriptografada. A ferramenta rclone é utilizada para transferir os arquivos coletados para um armazenamento remoto controlado pelos atacantes. A configuração do rclone é personalizada com detalhes de conexão SFTP, incluindo IP, usuário, porta e senha, obtidos da configuração baixada. O malware então coleta informações de discos lógicos, aplicando filtros para selecionar arquivos específicos (documentos, planilhas, imagens, vídeos, arquivos compactados, executáveis, etc.) e os exfiltra para um diretório remoto com a estrutura /rc/{computername}--{machine_guid}/. Para garantir a persistência, o malware cria arquivos .bat e .ps1 que são registrados no agendador de tarefas do Windows, garantindo a execução contínua após reinicializações do sistema. A investigação também identificou perfis do GitHub associados aos atacantes, revelando um histórico de testes e desenvolvimento de ferramentas, incluindo scripts para roubo de sessões do Telegram. A infraestrutura de rede associada ao SiribClone inclui múltiplos endereços IP que hospedam páginas de login falsas para roubo de credenciais do Telegram e um painel interno, denominado 'КОНТУР', utilizado pelos atacantes para visualizar e gerenciar as contas comprometidas. As anotações encontradas neste painel indicam que o alvo principal são militares russos em zonas de fronteira e na zona de operações especiais, reforçando a hipótese de que o objetivo é a espionagem militar.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
