SiribClone: Nova Ameaça Cibernética Visa Militares Russos Via Telegram e Spyware
Uma nova campanha de ciberespionagem, atribuída ao grupo SiribClone, tem como alvo militares russos. Os atacantes utilizam táticas sofisticadas, incluindo phishing para roubar contas do Telegram, engenharia social para distribuir spyware Android e malware disfarçado em documentos militares para PCs.
MundiX News·06 de junho de 2026·7 min de leitura·👁 14 views
Especialistas da empresa F6 relataram a atividade de um grupo de ciberespionagem até então desconhecido, denominado SiribClone, que tem direcionado ataques a militares russos. Os criminosos empregam múltiplas táticas de ataque, que incluem o roubo de contas do Telegram através de phishing, a disseminação de spyware para Android por meio de engenharia social e a infecção de computadores com malware disfarçado de documentos com temática militar.
De acordo com os pesquisadores, os primeiros indícios da atividade do grupo datam do verão de 2025. Os criminosos iniciaram os testes de suas próprias ferramentas em dezembro do ano passado, e entre janeiro e fevereiro de 2026, os especialistas registraram ataques direcionados a militares através de aplicativos de mensagens e sites de namoro. O principal objetivo do SiribClone é a coleta de dados pessoais, informações de geolocalização, conversas, contatos e outras informações de interesse para a inteligência militar.
A investigação teve início em fevereiro de 2026 com a descoberta de um arquivo compactado chamado "Решение по СВОДУ.zip". Dentro deste arquivo, encontrava-se um arquivo LNK disfarçado como um documento do Word com temática militar. Ao ser executado, o arquivo abria um documento isca e, simultaneamente, baixava um script malicioso em PowerShell do GitHub. Como resultado, os especialistas identificaram um malware inédito para Windows, batizado de SiribGrabber. Este malware utiliza a utilidade rclone para roubar dados e envia automaticamente documentos, fotos, vídeos, arquivos compactados e outros tipos de arquivos para os servidores dos operadores. Para garantir persistência no sistema, o malware cria scripts BAT e PowerShell e os adiciona à inicialização automática do sistema através do registro.
Em investigações posteriores, os analistas descobriram vários perfis no GitHub, configurações de teste de malware e a infraestrutura de comando e controle do grupo. Um item de particular interesse, segundo os especialistas, foi uma ferramenta interna dos atacantes chamada "КОНТУР" (Kontur), projetada para gerenciar sessões roubadas do Telegram. O sistema permitia a visualização de mensagens de usuários comprometidos e continha anotações sobre vítimas específicas. Nessas anotações, os criminosos registravam informações como geolocalização, cargo, patente, afiliação a unidades militares e identificavam qual operador do grupo estava encarregado de cada alvo. Esses detalhes reforçam o caráter de espionagem das operações do SiribClone.
Para comprometer contas do Telegram, os criminosos utilizaram dezenas de domínios de phishing, disfarçados como serviços de nuvem, convites para canais, plataformas de vídeo e outros recursos legítimos. Os usuários eram solicitados a fazer login através do Telegram, após o que os atacantes obtinham o sessionString, um token especial que permitia o acesso à conta sem a necessidade de inserir novamente o código de confirmação.
Adicionalmente, uma linha de ataque separada envolvia engenharia social. Sob o pretexto de serem voluntários ou moças em busca de um encontro, os criminosos iniciavam conversas com militares via Telegram e outras plataformas. Após estabelecerem uma relação de confiança com as vítimas, enviavam links para supostos serviços seguros de compartilhamento de fotos, armazenamento em nuvem ou formulários para recebimento de ajuda humanitária. Na realidade, os usuários eram induzidos a instalar arquivos APK maliciosos com nomes como Safeintim.apk. O malware Android descoberto foi nomeado pelos especialistas como SafeLoveStealer.
O SafeLoveStealer é classificado como spyware, pois, após a instalação, o aplicativo coleta informações sobre o dispositivo, dados de rede e Wi-Fi, geolocalização, fotos, documentos, arquivos de vídeo e áudio. Além disso, o SafeLoveStealer é capaz de gravar áudio do microfone e reconhecer a fala. Segundo os pesquisadores, o principal objetivo do malware é obter um conjunto completo de dados pessoais, técnicos e geográficos do proprietário do dispositivo e transmiti-los discretamente aos seus operadores.
O relatório indica que em maio de 2026, uma nova onda de atividade do SiribClone foi registrada. Por exemplo, em um dos servidores dos criminosos, surgiu um site com a temática da campanha "Regimento Imortal". Os usuários eram convidados a preencher um formulário para participar de um evento online e baixar a inscrição final. Em vez dos documentos esperados, as vítimas recebiam arquivos compactados contendo arquivos LNK que executavam uma versão atualizada do SiribGrabber.
A F6 observa que o modelo operacional do SiribClone combina engenharia social, phishing, spyware móvel e malware para Windows. Na opinião dos pesquisadores, o grupo continua a desenvolver sua infraestrutura e a buscar novas formas de obter dados de militares das Forças Armadas da Federação Russa.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Especialistas da empresa F6 relataram a atividade de um grupo de ciberespionagem até então desconhecido, denominado SiribClone, que tem direcionado ataques a militares russos. Os criminosos empregam múltiplas táticas de ataque, que incluem o roubo de contas do Telegram através de phishing, a disseminação de spyware para Android por meio de engenharia social e a infecção de computadores com malware disfarçado de documentos com temática militar.
De acordo com os pesquisadores, os primeiros indícios da atividade do grupo datam do verão de 2025. Os criminosos iniciaram os testes de suas próprias ferramentas em dezembro do ano passado, e entre janeiro e fevereiro de 2026, os especialistas registraram ataques direcionados a militares através de aplicativos de mensagens e sites de namoro. O principal objetivo do SiribClone é a coleta de dados pessoais, informações de geolocalização, conversas, contatos e outras informações de interesse para a inteligência militar.
A investigação teve início em fevereiro de 2026 com a descoberta de um arquivo compactado chamado "Решение по СВОДУ.zip". Dentro deste arquivo, encontrava-se um arquivo LNK disfarçado como um documento do Word com temática militar. Ao ser executado, o arquivo abria um documento isca e, simultaneamente, baixava um script malicioso em PowerShell do GitHub. Como resultado, os especialistas identificaram um malware inédito para Windows, batizado de SiribGrabber. Este malware utiliza a utilidade rclone para roubar dados e envia automaticamente documentos, fotos, vídeos, arquivos compactados e outros tipos de arquivos para os servidores dos operadores. Para garantir persistência no sistema, o malware cria scripts BAT e PowerShell e os adiciona à inicialização automática do sistema através do registro.
Em investigações posteriores, os analistas descobriram vários perfis no GitHub, configurações de teste de malware e a infraestrutura de comando e controle do grupo. Um item de particular interesse, segundo os especialistas, foi uma ferramenta interna dos atacantes chamada "КОНТУР" (Kontur), projetada para gerenciar sessões roubadas do Telegram. O sistema permitia a visualização de mensagens de usuários comprometidos e continha anotações sobre vítimas específicas. Nessas anotações, os criminosos registravam informações como geolocalização, cargo, patente, afiliação a unidades militares e identificavam qual operador do grupo estava encarregado de cada alvo. Esses detalhes reforçam o caráter de espionagem das operações do SiribClone.
Para comprometer contas do Telegram, os criminosos utilizaram dezenas de domínios de phishing, disfarçados como serviços de nuvem, convites para canais, plataformas de vídeo e outros recursos legítimos. Os usuários eram solicitados a fazer login através do Telegram, após o que os atacantes obtinham o sessionString, um token especial que permitia o acesso à conta sem a necessidade de inserir novamente o código de confirmação.
Adicionalmente, uma linha de ataque separada envolvia engenharia social. Sob o pretexto de serem voluntários ou moças em busca de um encontro, os criminosos iniciavam conversas com militares via Telegram e outras plataformas. Após estabelecerem uma relação de confiança com as vítimas, enviavam links para supostos serviços seguros de compartilhamento de fotos, armazenamento em nuvem ou formulários para recebimento de ajuda humanitária. Na realidade, os usuários eram induzidos a instalar arquivos APK maliciosos com nomes como Safeintim.apk. O malware Android descoberto foi nomeado pelos especialistas como SafeLoveStealer.
O SafeLoveStealer é classificado como spyware, pois, após a instalação, o aplicativo coleta informações sobre o dispositivo, dados de rede e Wi-Fi, geolocalização, fotos, documentos, arquivos de vídeo e áudio. Além disso, o SafeLoveStealer é capaz de gravar áudio do microfone e reconhecer a fala. Segundo os pesquisadores, o principal objetivo do malware é obter um conjunto completo de dados pessoais, técnicos e geográficos do proprietário do dispositivo e transmiti-los discretamente aos seus operadores.
O relatório indica que em maio de 2026, uma nova onda de atividade do SiribClone foi registrada. Por exemplo, em um dos servidores dos criminosos, surgiu um site com a temática da campanha "Regimento Imortal". Os usuários eram convidados a preencher um formulário para participar de um evento online e baixar a inscrição final. Em vez dos documentos esperados, as vítimas recebiam arquivos compactados contendo arquivos LNK que executavam uma versão atualizada do SiribGrabber.
A F6 observa que o modelo operacional do SiribClone combina engenharia social, phishing, spyware móvel e malware para Windows. Na opinião dos pesquisadores, o grupo continua a desenvolver sua infraestrutura e a buscar novas formas de obter dados de militares das Forças Armadas da Federação Russa.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
