Phishing na Reporterów bez Granic (RSF): ślad prowadzi do Callisto/ColdRiver (Star Blizzard) - Security Bez Tabu

Phishing na Reporterów bez Granic (RSF): ślad prowadzi do Callisto/ColdRiver (Star Blizzard)

Wprowadzenie do problemu / definicja luki

Francuska organizacja Reporterzy bez Granic (RSF) została niedawno celem precyzyjnej kampanii spear-phishingowej przypisanej aktorowi Callisto/ColdRiver (znanemu także jako Star Blizzard) – grupie od lat łączonej przez rządy państw zachodnich z rosyjską FSB (Centrum 18). Atak rozpoczął się od wiadomości e-mail z fałszywą tożsamością zaufanego kontaktu i doprowadzał do złośliwego łańcucha przekierowań zakończonego zestawem phishingowym (AiTM) naśladującym logowanie do ProtonMail i zdolnym do przechwycenia haseł oraz 2FA. Incydent jako pierwszy nagłośnił Recorded Future News na podstawie analizy Sekoia.io.

W skrócie

  • Cel: minimum dwa podmioty, w tym RSF; ukierunkowane na kradzież poświadczeń ProtonMail.
  • Wejście: spear-phishing z podszyciem się pod zaufaną osobę, czasem “zapomniany załącznik” lub pozorny PDF (w istocie ZIP lub “zaszyfrowany” PDF z linkiem).
  • Wykonanie: przekierowania przez skompromitowane stronykit AiTM z prefill e-maila, wymuszeniem fokusu na polu hasła i relay 2FA.
  • Atrybucja: Star Blizzard/Callisto/ColdRiver – aktor “niemal na pewno” podporządkowany FSB (Centrum 18) według NCSC/CISA.
  • Kontekst: RSF od 14 sierpnia 2025 r. na liście “organizacji niepożądanych” w Rosji.

Kontekst / historia / powiązania

Star Blizzard (Callisto/ColdRiver) jest znany z wieloletnich kampanii wywiadowczych przeciwko NGO, rządom i podmiotom wspierającym Ukrainę. Wspólne doradztwa NCSC/CISA z grudnia 2023 r. opisują dojrzałe łańcuchy spear-phishingowe oraz konsekwentny dobór celów wysokiej wartości. RSF z kolei wspiera dziennikarzy pod presją (m.in. rosyjskich), co czyni tę organizację logicznym celem operacji wpływu i rozpoznania. Dodatkowo, RSF została formalnie uznana w Rosji za “niepożądaną” – co podnosi prawdopodobieństwo motywacji politycznej ataku.

Analiza techniczna / szczegóły luki

Wejście socjotechniczne.
Operator użył adresu ProtonMail stylizowanego na zaufaną osobę i wysłał e-mail po francusku z prawidłową sygnaturą. Warianty obejmowały:

  • Wiadomość bez załącznika (“proszę o opinię”), aby skłonić ofiarę do poproszenia o ponowne wysłanie dokumentu.
  • Fałszywy PDF (w praktyce ZIP z rozszerzeniem .pdf) albo “zaszyfrowany PDF” z instrukcją otwarcia w ProtonDrive. Po kliknięciu ofiara trafiała przez kompromitowany serwer na docelowy kit phishingowy.

Kit AiTM i mechanika kradzieży.
Zestaw phishingowy (hostowany m.in. na account.simpleasip[.]org) imituje stronę logowania ProtonMail i:

  • Automatycznie wypełnia pole e-mail ofiary.
  • Wymusza kursor na polu hasła (skrypt JS przywraca fokus co 250 ms) zwiększając szansę wpisania hasła.
  • Pośredniczy w 2FA (Adversary-in-the-Middle), prezentując prawdziwe okna CAPTCHA/2FA, a po udanym logowaniu widoczna jest aktywność z adresów proxy (np. 196.44.117[.]196).
  • Część JS ma tę samą nazwę pliku co oryginał Proton, ale jest spatchowana, by wstrzykiwać własne callbacki (np. ownershipSubmitCallback).

Infrastruktura i IOCs.
SEKOIA wskazuje PHP-owe redirectory na skompromitowanych WordPressach oraz charakterystyczny wzorzec parametrów (utm_refferer). Lista obserwowanych domen obejmuje m.in. proton-decrypt[.]com, onlineviewdoc[.]com, documentsec[.]com i kilkadziesiąt innych; część została sinkholowana przez MSTIC. (Pełna lista w raporcie SEKOIA).

Praktyczne konsekwencje / ryzyko

  • Ryzyko kompromitacji skrzynek e-mail i tożsamości w NGO, redakcjach i think-tankach – wprost uderzające w bezpieczeństwo źródeł i ciągłość działań defensywnych/advocacy.
  • Ominięcie 2FA przez AiTM podnosi skuteczność ataków wobec zespołów, które polegały wyłącznie na TOTP/SMS.
  • Dalsza eskalacja: pivot do chmur, M365/Google Workspace, wyciek korespondencji, operacje informacyjne oparte na wykradzionych materiałach.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/IT Sec (od razu):

  1. Zablokuj i monitoruj IOCs oraz wzorce z raportu SEKOIA (domeny, ścieżki PHP, IP/ASN proxy). Wdróż HTTP request filtering dla znanych ścieżek redirectorów WP (/wp-content/plugins/*/*.php).
  2. Wymuś FIDO2/WebAuthn dla poczty i krytycznych aplikacji (rezyliencja na AiTM lepsza niż TOTP/SMS).
  3. Włącz Continuous Access Evaluation / token binding i Conditional Access (m.in. blokada niezarządzanych przeglądarek, wymóg MFA phishing-resistant).
  4. DMARC/DKIM/SPF – ścisłe polityki i SPF flattening; monitoruj spoofing domen partnerów.
  5. Egress DNS/HTTP e-tags: wykrywaj nietypowe domeny “living-off-the-land” (np. *viewdoc*, *proton* + słowa “decrypt”, “account”, “drive”).
  6. Instrumentacja przeglądarek: reguły na focus() loop i różnice w ładunkach JS względem oryginalnych zasobów dostawcy (np. hash statycznego public-index.*.js Proton vs. serwis atakującego).

Dla użytkowników wysoko-ryzykownych (dział PR/advocacy, redaktorzy, badacze):

  • Nie odpowiadaj na “zapomniane załączniki”; nie otwieraj PDF z prośbą o logowanie do zewnętrznego serwisu.
  • Zawsze weryfikuj nadawcę innym kanałem (telefon, szyfrowany komunikator).
  • Używaj kluczy bezpieczeństwa (FIDO2) i profile’ów przeglądarki “wysokiego ryzyka” z izolacją.
  • Zgłaszaj podejrzane Proton/Drive linki – Proton szybko blokuje konta operatorów, co potwierdziło przerwanie łańcucha w tym incydencie.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Star Blizzard w 2024/2025 testował też nietypowe wektory socjotechniczne (np. zaproszenia do grup WhatsApp). Obecna kampania wobec RSF wraca do dojrzałego, “klasycznego” spear-phishingu z AiTM i redirectorami – technicznie bardziej zbliżona do opisów w doradztwach NCSC/CISA niż do eksperymentalnych wektorów z początku 2025 r.

Podsumowanie / kluczowe wnioski

  • Atak na RSF wykorzystuje prosty, lecz dopracowany łańcuch socjotechniczny i kit AiTM – zdolny do obejścia 2FA.
  • Atrybucja do Star Blizzard/Callisto jest spójna z wcześniejszymi TTP i potwierdzonym profilem celów.
  • Organizacje medialne i prawoczłowiecze (zwłaszcza związane z Rosją/Ukrainą) powinny pilnie wdrożyć FIDO2, hardening przeglądarek, oraz ścisłe kontrole e-mail.

Źródła / bibliografia

  1. Recorded Future News – Phishing attempt against Reporters Without Borders attributed to Russia-linked group (4 grudnia 2025). (The Record from Recorded Future)
  2. Sekoia.io – French NGO Reporters Without Borders targeted by Calisto in recent campaign (3 grudnia 2025) – analiza TTP, AiTM, IOCs. (Sekoia.io Blog)
  3. UK NCSC – Star Blizzard continues spear-phishing campaigns (7 grudnia 2023) – atrybucja do FSB/Centrum 18. (NCSC)
  4. CISA – AA23-341A: Russia-based Star Blizzard spear-phishing (7 grudnia 2023) – TTP, sektorowe cele. (cisa.gov)
  5. RSF – RSF listed as “undesirable organisation” in Russia (14 sierpnia 2025). (Reporters Without Borders)