Een tot nu toe onbekende cyberespionagegroep, genaamd SiribClone door het Russische beveiligingsbedrijf F6, probeert smartphones, computers en Telegram-accounts van Russische militairen te compromitteren door zich voor te doen als vrouwen die op zoek zijn naar een romantische relatie. De groep is actief sinds minstens de zomer van 2025 en richt zich vooral op leden van de Russische strijdkrachten die gestationeerd zijn in grensgebieden en gevechtszones.

Volgens een rapport van F6 is het doel van de campagne het verzamelen van militaire inlichtingen door het stelen van bestanden, het monitoren van communicatie en het verzamelen van gevoelige informatie van Russische troepen nabij het front. De aanvallers benaderen militairen via Telegram en andere berichtendiensten, waarbij ze zich voordoen als vrouwen die romantische interesse tonen of als vrijwilligers die humanitaire hulp aanbieden. Vervolgens proberen ze de slachtoffers te verleiden tot het downloaden van schadelijke apps of het invoeren van hun Telegram-gegevens op nagemaakte websites.

De slachtoffers worden misleid met verschillende voorwendselen, zoals het testen van een nieuwe applicatie of het uitwisselen van intieme foto’s via een zogenaamd beveiligde foto-app. In werkelijkheid installeert de app een tot dan toe onbekende Android-spyware, SafeLoveStealer genaamd, die foto’s, video’s, documenten, locatiegegevens en andere informatie kan stelen. Daarnaast kan de malware op afstand de microfoon activeren om gesprekken op te nemen.

De groep exploiteert ook phishingwebsites die eruitzien als Telegram-loginpagina’s, uitnodigingen voor Telegram-gemeenschappen en medische testportalen. Slachtoffers worden gevraagd hun telefoonnummer, Telegram-verificatiecode en tweefactorauthenticatie in te voeren, waardoor de aanvallers controle krijgen over de accounts en communicatie kunnen afluisteren.

Naast mobiele spyware gebruikt SiribClone ook desktopmalware, SiribGrabber, die bestanden van geïnfecteerde systemen steelt. Deze malware werd tussen januari en februari van dit jaar verspreid via ZIP-bestanden die als militaire documenten waren vermomd. Na enkele maanden van inactiviteit dook de groep in mei weer op met nieuwe malware die werd verspreid via een website rond de viering van de Russische Overwinningsdag.

Onderzoekers ontdekten ook een intern beheersplatform, Kontur genaamd, waarin gestolen Telegram-sessies worden opgeslagen en onderschepte berichten kunnen worden bekeken. Interne notities verwijzen naar militaire rangen, eenheden, locaties en operationele status, wat wijst op een primaire focus op militaire spionage.

Volgens F6 richt SiribClone zich op twee hoofddoelen: het verzamelen van technische, geografische en persoonlijke gegevens van geïnfecteerde apparaten en het verkrijgen van blijvende toegang tot Telegram-accounts om communicatie te onderscheppen. De onderzoekers koppelen de campagne niet aan een specifieke staat of bekende dreigingsactor. Meer informatie is te vinden in het uitgebreide rapport.