Tác nhân đe dọa APT29 (hay còn gọi là Cozy Bear) liên kết với Nga được cho là do một chiến dịch gián điệp mạng đang diễn ra nhắm vào các bộ và tổ chức ngoại giao ở các quốc gia thành viên NATO, Liên minh châu Âu và châu Phi.
Theo Cơ quan Phản gián Quân sự Ba Lan và nhóm CERT Polska, hoạt động quan sát được chia sẻ sự chồng chéo chiến thuật với một cụm được Microsoft theo dõi là Nobelium, được biết đến với cuộc tấn công cấp cao vào SolarWinds vào năm 2020.
Các hoạt động của Nobelium được cho là do Cơ quan Tình báo Nước ngoài Nga (SVR), một tổ chức có nhiệm vụ bảo vệ "các cá nhân, xã hội và nhà nước khỏi các mối đe dọa từ nước ngoài".
Điều đó nói rằng, chiến dịch này đại diện cho một sự phát triển của chiến thuật của nhóm tin tặc được Điện Kremlin hậu thuẫn, cho thấy những nỗ lực bền bỉ trong việc cải thiện vũ khí mạng của mình để xâm nhập vào các hệ thống nạn nhân để thu thập thông tin tình báo.
"Các công cụ mới đã được sử dụng cùng một lúc và độc lập với nhau, hoặc thay thế những công cụ có hiệu quả đã giảm, cho phép tác nhân duy trì nhịp độ hoạt động liên tục, cao", các cơ quan cho biết.
Các cuộc tấn công bắt đầu với các email lừa đảo mạo danh các đại sứ quán châu Âu nhằm lôi kéo các nhà ngoại giao bị nhắm mục tiêu mở các tệp đính kèm có chứa phần mềm độc hại dưới vỏ bọc lời mời hoặc cuộc họp.
Được nhúng trong tệp đính kèm PDF là một URL bị mắc kẹt dẫn đến việc triển khai một trình nhỏ giọt HTML có tên EnvyScout (hay còn gọi là ROOTSAW), sau đó được sử dụng như một ống dẫn để phân phối ba chủng SNOWYAMBER, HALFRIG và QUARTERRIG chưa biết trước đây.
SNOWYAMBER, còn được gọi là GraphicalNeutrino bởi Recorded Future, tận dụng dịch vụ ghi chú khái niệm cho lệnh và kiểm soát (C2) và tải xuống các tải trọng bổ sung như Brute Ratel.
QUARTERRIG cũng hoạt động như một trình tải xuống có khả năng truy xuất tệp thực thi từ máy chủ do tác nhân điều khiển. HALFRIG, mặt khác, hoạt động như một loader để khởi chạy bộ công cụ sau khai thác Cobalt Strike có trong nó.
Điều đáng chú ý là tiết lộ này phù hợp với những phát hiện gần đây từ BlackBerry, trong đó nêu chi tiết một chiến dịch Nobelium nhắm vào các nước Liên minh châu Âu, với sự nhấn mạnh cụ thể vào các cơ quan đang "hỗ trợ công dân Ukraine chạy trốn khỏi đất nước và cung cấp trợ giúp cho chính phủ Ukraine".