Bruger Viber til angreb mod ukrainske myndigheder

Eskil Sørensen

01.07.2026 10:27

Ny taktik brugt af russisk-tilknyttede hackere misbruger beskedapps

En russisk-tilknyttet trusselsaktør, kendt som UAC-0184, er blevet set i målrettede angreb mod ukrainske militære og statslige organisationer. Ifølge en teknisk rapport fra 360 Threat Intelligence Center anvender gruppen nu Viber som leveringskanal for ondsindede ZIP-arkiver.

Det skriver The Hacker News.

Gruppen, også kendt under aliaset Hive0156, har tidligere brugt phishing-e-mails med krigstema til at sprede malware-loaderen Hijack Loader, som fungerer som indgang til infektion med Remcos RAT. Den seneste kampagne viser en yderligere udvikling af taktikken, hvor beskedapps som Signal, Telegram – og nu Viber – bliver misbrugt til angreb.

Sådan fungerer angrebskæden

Angrebet starter med en ZIP-fil sendt via Viber. Viber er en instant messaging-app, der bruges til at sende beskeder, foretage opkald og dele filer – både via mobil og desktop. Den fungerer på samme måde som WhatsApp eller Signal. Zip-filarkivet indeholder flere Windows-genvejsfiler (LNK), der er forklædt som officielle Word- og Excel-dokumenter for at narre modtageren til at åbne dem. Når en LNK-fil aktiveres, vises et lokkedokument for at mindske mistanken, mens et PowerShell-script i baggrunden henter en anden ZIP-fil (“smoothieks.zip”) fra en fjernserver.

Denne fil bruges til at rekonstruere og indlæse Hijack Loader direkte i hukommelsen gennem en flertrinsproces, der benytter teknikker som DLL side-loading og module stomping for at undgå detektion. Loaderen scanner derefter systemet for installeret sikkerhedssoftware som Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot og Microsoft ved at beregne CRC32-hashværdier.

Fra loader til fuld kontrol

Efter etablering af persistens via planlagte opgaver omgår loaderen statiske signaturbaserede kontroller og injicerer Remcos RAT i processen “chime.exe”. Dette fjernadministrationsværktøj giver angriberne mulighed for at:

Styre kompromitterede enheder
Udføre yderligere payloads
Overvåge aktiviteter
Stjæle data

Selvom Remcos markedsføres som legitim systemstyringssoftware, bruges det ofte til cyberspionage og datatyveri. Angriberne kan via et grafisk kontrolpanel udføre både automatiserede batch-operationer og præcise manuelle handlinger på ofrets maskine.

Vedvarende trussel mod kritiske mål

UAC-0184 blev første gang dokumenteret af den nationale ukrainske CERT i januar 2024. Gruppen har siden opretholdt en høj intensitet i sine spionagekampagner mod ukrainske myndigheder og militære enheder.

Læs mere

https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.html

Information