Setores aeroespacial e de defesa da Rússia foram alvo de uma nova campanha de ciberespionagem conhecida como Operação CargoTalon, que utiliza o backdoor EAGLET para exfiltrar dados sensíveis. A campanha foi atribuída ao grupo de ameaças UNG0901. Os ataques têm como alvo principal funcionários da Associação de Produção de Aeronaves de Voronezh (VASO), uma das maiores fabricantes de aeronaves da Rússia. A abordagem inicial ocorre por meio de e-mails de spear-phishing com temas de entrega de carga, que trazem arquivos ZIP contendo atalhos maliciosos (.LNK).
Ao serem abertos, esses atalhos executam comandos PowerShell que exibem um documento falso do Excel enquanto instalam o EAGLET no sistema. O documento de isca faz referência à Obltransterminal, uma operadora russa de terminais ferroviários sancionada pelos EUA em 2024. Uma vez implantado, o EAGLET coleta informações do sistema e se conecta a um servidor remoto para receber comandos adicionais.
Embora o servidor esteja atualmente offline, o malware é capaz de fornecer acesso remoto e transferir arquivos. Os Pesquisadores identificaram operações semelhantes contra o setor militar russo, com indícios de sobreposição de código-fonte e alvos com outro grupo chamado Head Mare, responsável por campanhas anteriores contra entidades russas. O EAGLET apresenta funções semelhantes ao PhantomDL, um backdoor desenvolvido em Go. Paralelamente, o grupo pró-russo UAC-0184 (Hive0156) continua a atacar a Ucrânia com o trojan Remcos RAT, usando arquivos LNK e PowerShell para distribuir o malware de forma mais eficiente e com foco crescente em alvos militares ucranianos.
