חוקרים מ- Unit 42 של רשת פאלו אלטו זיהו קבוצת סייבר המזוהה עם רוסיה, אשר מינפה מכירה לגיטימית של מכונית BMW למטרות דיוג דיפלומטים בעיר קייב שבאוקראינה. מתקפת הדיוג בוצעה על ידי קבוצת Cloaked Ursa (המכונה גם Cozy Bear, APT29), אותה מייחסות ארה"ב ובריטניה לשירות ביון החוץ של רוסיה (SVR). מתקפת הדיוג כוונה ל- 22 מתוך למעלה מ- 80 שגרירויות זרות בקייב.
מתקפת הדיוג התבססה על אימייל לגיטימי מדיפלומט במשרד החוץ הפולני, אשר נשלח לשגרירויות שונות. האימייל פרסם מכירה של מכונית BMW סדאן משומשת סדרה 5 בקייב, עם קובץ המצורף שכותרתו BMW 5 למכירה בקייב – 2023.docx. חוקרי הסייבר ציינו כי הזמינות של מכונית אמינה מדיפלומט מהימן תמשוך את התעניינותם של המגיעים לאזור, לאור הקשיים של הסדרת תחבורה וסחורות אחרות לאוקראינה במצב המלחמה הנוכחי.
סביר להניח ש- Cloaked Ursa צפתה בפרסום הלגיטימי לאחר שפרצה לאחד משרתי האימייל של אחד הנמענים וראתה הזדמנות לעשות בו שימוש בצורה של פיתוי לדיוג. ב- 4 במאי 2023 שלחה קבוצת הסייבר בדוא"ל את הגרסה המזויפת שלה של פרסום מכירת הרכב למספר נציגויות דיפלומטיות ברחבי קייב, תוך שימוש במסמכי Microsoft Word באותו שם כמו המסמך המקורי. עם זאת, בלחיצת הנמען קישור המציע "יותר תמונות באיכות גבוהה", הוא מופנה לאתר של Cloaked Ursa. כאשר מנסה הקורבן לצפות בתמונות, מורד ברקע למחשבו מטען זדוני בזמן שהתמונה מוצגת על המסך שלו.
קבוצת הסייבר השתמשה בכתובות דוא"ל זמינות לציבור של שגרירות כדי להגיע לכ- 80% מהיעדים, כאשר 20% הנותרים מורכבים מכתובות דוא"ל שלא פורסמו ואינן נמצאות באינטרנט. רוב האימיילים נשלחו לתיבות דואר כלליות של השגרירות, אך מעטים נשלחו ישירות לכתובות העבודה אנשים בשגרירויות.
אין מידע עד כמה הצליחה מתקפת הדיוג בהדבקת הדיפלומטים בנוזקות. עם זאת אמרו החוקרים שמספר השגרירויות הממוקדות היה מדהים בהיקפו ביחס לפעולות APT. ההערכה של פאלו אלטו כי Cloaked Ursa אחראית למתקפת הדיוג מבוססת על הגורמים הבאים: קווי דמיון למתקפות של Cloaked Ursa ויעדים ידועים אחרים שלה, שימוש ב- TTPs ידועים של Cloaked Ursa וחפיפה עם נוזקות ידועות אחרות של Cloaked Ursa.
החוקרים מדגישים כי מתקפת הדיוג הזו מדגימה שוב כי משלחות דיפלומטיות הן יעד ריגול בעל ערך גבוה עבור ממשלת רוסיה לשם השגת מידע מודיעיני על אוקראינה ובעלות בריתה: "דיפלומטים צריכים להעריך ש- APT משנים ללא הרף את הטכניקות שלהם – כולל באמצעות דיוג חנית (spear phishing) כדי לשפר את היעילות. הם ינצלו כל הזדמנות לפתות קורבנות למטרות פריצה למערכות המחשוב שלהם וגניבת מידע מהם. אוקראינה ובעלות בריתה צריכות לשמור על ערנות יתרה אל מול איומי ריגול סייבר, כדי לקיים אבטחת מידע ושמירה על סודיות המידע שלהן".
ב- 10 ביולי מצאו BlackBerry שקבוצת פשיעת הסייבר RomCom הפעילה מתקפת סייבר ממוקדת כנגד ארגונים ויחידים התומכים באוקראינה, ימים ספורים לפני פסגת נאט"ו הצפויה.