SiribClone späht russische Soldaten über fingierte Romanzen und Telegram aus

Zusammenfassung

Eine bislang nicht dokumentierte Gruppe für Cyberspionage versucht nach Erkenntnissen der russischen Cybersicherheitsfirma F6, Smartphones, Computer und Telegram-Konten von Angehörigen des russischen Militärs zu kompromittieren. Die Angreifer geben sich dabei als Frauen auf Partnersuche oder als Freiwillige aus, die humanitäre Hilfe anbieten, um Gespräche mit Soldaten auf Telegram und anderen Messenger-Plattformen anzubahnen. Ziel der Kampagne ist laut einem in der vergangenen Woche veröffentlichten Bericht offenbar die Gewinnung von Informationen aus dem Kampfgebiet: Die Gruppe will Dateien stehlen, Kommunikation überwachen und sensible militärische Informationen von nahe der Front stationierten Truppen sammeln. F6 bezeichnet die Gruppe als SiribClone. Aktiv sei sie mindestens seit dem Sommer 2025 und richte sich vor allem gegen Mitglieder der russischen Streitkräfte in Grenzregionen und Kampfzonen.

Nach Angaben von F6 locken die Angreifer ihre Ziele unter verschiedenen Vorwänden auf schädliche Links oder gefälschte Webseiten. Teilweise behaupteten sie, eine neue Anwendung entwickelt zu haben, und baten die Empfänger, diese zu testen. In anderen Fällen schlugen sie den Austausch intimer Fotos über eine vermeintlich sichere Anwendung zum Teilen von Bildern vor.

Tatsächlich installierte diese Anwendung eine bislang unbekannte Android-Spionagesoftware, die die Forscher SafeLoveStealer nennen. Laut dem Bericht kann die Schadsoftware Fotos, Videos, Dokumente, Standortdaten und weitere Informationen von kompromittierten Geräten stehlen. Zudem erlaubt sie es den Angreifern, das Mikrofon des Zielgeräts aus der Ferne zu aktivieren und Gespräche aufzuzeichnen.

Parallel betreibt die Gruppe Phishing-Seiten, die als Telegram-Anmeldeseiten, Einladungen zu Telegram-Communitys, Portale für medizinische Tests und andere Onlinedienste getarnt sind. Dort sollen Opfer ihre Telefonnummer, den Telegram-Bestätigungscode und das Passwort für die Zwei-Faktor-Authentifizierung eingeben. Damit können die Angreifer laut F6 die Kontrolle über die Konten übernehmen und die Kommunikation der Betroffenen überwachen.

Neben der mobilen Spionagesoftware setzte SiribClone auch eine zuvor nicht dokumentierte Schadsoftware für Desktop-Rechner ein, die F6 SiribGrabber nennt. Deren Hauptzweck besteht dem Bericht zufolge darin, Dateien von infizierten Systemen zu stehlen.

In der zwischen Januar und Februar dieses Jahres beobachteten Kampagne verschickten die Hacker ZIP-Archive, die als militärbezogene Dokumente getarnt waren. Nach mehreren Monaten offensichtlicher Inaktivität tauchte die Gruppe im Mai erneut auf. Diesmal wurde neue Schadsoftware über eine Webseite verbreitet, die thematisch an die russischen Feiern zum Tag des Sieges angelehnt war.

Die Forscher entdeckten außerdem eine interne Verwaltungsplattform der Angreifer, die sie Kontur nennen. Dort werden gestohlene Telegram-Sitzungen gespeichert, und die Betreiber können abgefangene Nachrichten einsehen. Interne Notizen auf der Plattform verwiesen auf militärische Dienstgrade, Einheitenbezeichnungen, Orte und Einsatzstatus. Das deutet laut F6 darauf hin, dass die Kampagne in erster Linie militärischer Spionage dient.

F6 zufolge verfolgt SiribClone dabei zwei Hauptziele: technische, geografische und persönliche Daten von infizierten Geräten zu sammeln und einen dauerhaften Zugriff auf die Telegram-Konten der Opfer zu erlangen, um Kommunikation abzufangen. Eine Zuordnung der Kampagne zu einem bestimmten Staat oder einem bekannten Bedrohungsakteur nahmen die Forscher nicht vor.

SiribClone späht russische Soldaten über fingierte Romanzen und Telegram aus

Ähnliche Artikel

Neueste Artikel