Урядова команда реагування на комп'ютерні надзвичайні події CERT-UA зафіксувала випадки цільових кібератак на співробітників підприємств оборонно-промислового комплексу та представників Сил оборони України.
У березні 2025 року в месенджері Signal були виявлені повідомлення з архівами, що містять звіт з результатами наради. Для збільшення довіри, деякі повідомлення відправлялися від осіб зі списку контактів, чиї облікові записи були пошкоджені.
Ці архіви зазвичай містять файл з розширенням ".pdf" та виконуваний файл під назвою DarkTortilla. DarkTortilla - це криптор/лоадер, який використовується для розшифрування та запуску програми для віддаленого керування Dark Crystal RAT (DCRAT).
"Нагадаємо, що дана активність відслідковується за ідентифікатором UAC-0200, щонайменше, з літа 2024 року. Водночас, починаючи з лютого 2025 року, зміст повідомлень-приманок стосується БПЛА, засобів РЕБ тощо. Використання популярних месенджерів, як на мобільних пристроях, так і на комп'ютерах, значно розширює поверхню атаки, в тому числі за рахунок створення неконтрольованих (в контексті засобів захисту) каналів обміну інформацією", - повідомили у CERT-UA.