Entre nos nossos canais do Telegram e WhatsApp para notícias em primeira mão.
Telegram: [link do Telegram] WhatsApp: [link do WhatsApp]
O grupo de ciberespionagem apelidado de Laundry Bear (também identificado pela Microsoft como Void Blizzard) tem aprimorado suas técnicas de ataque, utilizando domínios falsificados e campanhas de spear-phishing para se infiltrar em organizações-chave na Europa e na América do Norte. A informação foi reportada pelo portal The Register.
O grupo intensificou suas operações desde abril de 2024, focando em entidades governamentais, forças policiais, empresas de tecnologia ocidentais e setores estratégicos de interesse para o governo russo. As agências de inteligência da Holanda, a AIVD e a MIVD, confirmaram que o grupo atua com apoio estatal russo e representa uma ameaça internacional significativa.
De acordo com The Register, a primeira detecção do Laundry Bear ocorreu durante uma investigação de um ataque de roubo de credenciais direcionado à polícia holandesa em setembro de 2024. As autoridades holandesas detalharam que, no mesmo ano, os ciberespiões russos conseguiram se infiltrar em empresas de defesa, aeroespacial e tecnologia espacial, bem como em companhias que desenvolvem tecnologias avançadas restritas à Rússia devido às sanções impostas por países ocidentais após a invasão à Ucrânia.
Alvos e Táticas Sofisticadas
A Microsoft Threat Intelligence informou que em outubro de 2024, o grupo acessou contas de usuários de organizações ucranianas do setor aeronáutico. Essa entidade já havia sido alvo de ataques anteriores do Seashell Blizzard (também conhecido como Sandworm), outro grupo ligado à inteligência russa, em 2022.
Segundo o relatório da Microsoft, o Laundry Bear tem tentado comprometer regularmente órgãos governamentais e forças de segurança na Europa e América do Norte, além de atacar setores como telecomunicações, defesa, saúde, educação, tecnologia da informação, transporte, meios de comunicação e organizações não governamentais.
A agência de notícias Reuters noticiou que os ataques contra instituições holandesas fazem parte de uma ameaça cibernética internacional mais ampla. Em uma carta conjunta ao parlamento, a AIVD e a MIVD sublinharam que o grupo operou de maneira secreta até sua descoberta em setembro de 2024, quando acessou informações confidenciais de funcionários policiais da Holanda. O objetivo principal desses ataques tem sido obter informações sobre a aquisição e produção de equipamento militar por governos ocidentais e sobre os envios de armas para a Ucrânia.
The Register detalhou que, até o momento, o Laundry Bear executou apenas ataques cibernéticos não destrutivos, orientados principalmente para a espionagem. O grupo geralmente emprega credenciais roubadas obtidas em ecossistemas de malware de roubo de informações e, uma vez dentro das organizações vítimas, coleta grandes volumes de e-mails e arquivos.
Em abril de 2025, o Microsoft Threat Intelligence Center observou que o Void Blizzard ampliou seu repertório com campanhas de spear-phishing direcionadas ao roubo de credenciais, focando em mais de 20 organizações não governamentais na Europa e nos Estados Unidos.
Durante essas campanhas, os atacantes se fizeram passar por organizadores da European Defense and Security Summit, enviando e-mails com arquivos PDF maliciosos que continham um código QR. Ao escaneá-lo, as vítimas eram redirecionadas para uma infraestrutura controlada pelo Void Blizzard no domínio falsificado micsrosoftonline.com, que simulava a página de login da Microsoft. A montagem utilizava a ferramenta de código aberto Evilginx para interceptar nomes de usuário, senhas e cookies de sessão quando os usuários tentavam “registrar-se” no falso evento.
Evolução das Táticas e Alerta de Risco
O uso de domínios falsificados, conhecido como typosquatting, representa uma tática nova para o grupo, o que indica uma evolução para operações mais direcionadas e um aumento do risco para setores críticos, conforme advertido pela Microsoft. Uma vez obtida a entrada inicial, os atacantes exploram interfaces legítimas da nuvem, como Exchange Online e Microsoft Graph, para acessar caixas de correio, incluindo as compartilhadas, e arquivos hospedados na nuvem, automatizando a coleta massiva de dados.
A Microsoft também observou que, em alguns casos, os atacantes acessaram conversas e mensagens do Microsoft Teams por meio do aplicativo web, e utilizaram a ferramenta pública AzureHound para mapear a configuração do Microsoft Entra ID das organizações comprometidas, obtendo informações sobre usuários, funções, grupos, aplicativos e dispositivos.
Embora muitas dessas táticas sejam comuns entre os grupos de espionagem e ofensiva cibernética do governo russo, tanto a Microsoft quanto os serviços de inteligência holandeses sustentam que o Laundry Bear constitui uma agrupação distinta. Segundo o aviso conjunto da AIVD e da MIVD, as operações do Laundry Bear apresentam semelhanças com o modus operandi do APT28 (também conhecido como Fancy Bear), outro grupo ligado ao GRU russo, que desde 2022 tem atacado provedores logísticos, empresas de tecnologia e organismos governamentais de países ocidentais e da OTAN que fornecem assistência à Ucrânia.
Nas últimas semanas, 21 agências governamentais de países como Estados Unidos, Reino Unido, Canadá, Alemanha, França, República Tcheca, Polônia, Áustria, Dinamarca e Holanda alertaram sobre uma campanha em curso do Fancy Bear direcionada a servidores de e-mail e câmeras conectadas à internet em postos fronteiriços ucranianos, com o objetivo de rastrear envios de ajuda.
Apesar da coincidência na seleção de objetivos e do uso de técnicas como os ataques de password spraying, os serviços holandeses enfatizaram que Laundry Bear e APT28 são atores diferentes. O The Moscow Times também reportou que a investigação das agências holandesas revelou que o Laundry Bear tem estado por trás de operações cibernéticas contra governos ocidentais e outras instituições desde pelo menos 2024.
O análise das agências de inteligência holandesas, citado pela Reuters e pelo The Moscow Times, concluiu que os ciberataques contra instituições da Holanda fazem parte de uma ameaça internacional mais ampla, com o objetivo de obter informação estratégica sobre a produção e o fornecimento de equipamento militar ocidental e a entrega de armas à Ucrânia.
