Правительственной командой реагирования на компьютерные чрезвычайные происшествия CERT-UA фиксируются неединичные случаи осуществления целевых кибератак как в отношении сотрудников предприятий оборонно-промышленного комплекса, так и отдельных представителей Сил обороны Украины.

В течение марта 2025 года в мессенджере Signal выявлены факты распространения сообщений с архивами, в которых якобы содержится отчет с результатами совещания. При этом, в некоторых случаях для повышения доверия отправка сообщений может осуществляться от лиц из списка существующих контактов, чьи учетные записи были заранее скомпрометированы.

Как правило, упомянутые архивы содержат файл с расширением ".pdf", а также исполняемый файл, классифицированный как DarkTortilla, который является программным средством типа криптор/лоадер, предназначением которого является расшифровка и запуск (в т.ч., путем инжектирования) программного средства для удаленного управления Dark Crystal RAT (DCRAT).

"Напомним, что данная активность отслеживается по идентификатору UAC-0200, по меньшей мере, с лета 2024 года. В то же время, начиная с февраля 2025 года, содержание сообщений-приманок касается БПЛА, средств РЭБ и т.д. Использование популярных мессенджеров, как на мобильных устройствах, так и на компьютерах, значительно расширяет поверхность атаки, в том числе за счет создания неконтролируемых (в контексте средств защиты) каналов обмена информацией", - сообщили в CERT-UA.