Secondo quanto scoperto dal Counter Threat Unit (CTU) della società Secureworks un documento riferibile al 56° Distaccamento della Guardia di Frontiera russa è risultato infetto con un malware conosciuto come Bronze President.
Il nome di questo file “Благовещенск – Благовещенский пограничный отряд” (Blagoveshchensk – Distaccamento della Frontiera di Blagoveshchensk) che appare con la classica icona di un PDF è in verità un file eseguibile (.exe).
Windows non visualizza infatti di default l’estensione per i formati di file noti e quindi l’utente è portato a pensare che si tratti di un semplice documento.
Una volta aperto viene visualizzato un PDF vero e proprio ma l’eseguibile nel frattempo inizia a scaricare in secondo piano una serie di file da server anonimi.
Questo consente agli hacker di poter usare comandi remoti PlugX in grado di catturare lo schermo del computer, acquisire informazioni, muovere il mouse o digitare con la tastiera, catturare i caratteri digitati, riavviare il sistema, gestire processi e servizi, modificare il registro di sistema, aprire il prompt dei comandi, etc.
Il documento riguarda un report della Commissione Europea sulla situazione ai confini con la Bielorussia compresa una analisi sulla pressione migratoria, le richieste di asilo nonché le sanzioni applicate alla Bielorussia all’inizio di marzo 2022.
Questo documento potrebbe essere stato messo in giro da parte degli hacker cinesi per attrarre l’attenzione di uno specifico target di utenti, i militari in questo caso.