קולקטיב פושעי הסייבר הרוסים המכונה בשם APT28, משתמש בתכונה לגיטימית של Microsoft Windows כדי לפרוס גנבי מידע ונוזקות אחרות במערכות המחשוב של קורבנותיהם. מאמר חדש של חוקרי סייבר בזרוע אבטחת הסייבר של חברת IBM X-Force טוען שמתקפת סייבר זו הייתה פעילה בין נובמבר בשנה שעברה לפברואר השנה. לפי הדיווח, מתחזים פושעי הסייבר (הידועים גם בשם Fancy Bear, Forest Blizzard או ITG05) לארגונים ממשלתיים וארגונים לא ממשלתיים באירופה, דרום הקווקז, מרכז אסיה וצפון ודרום אמריקה והם מגיעים לקורבנותיהם באמצעות דואר אלקטרוני. המיילים מכילים קבצי PDF עם נוזקה.
קבצי ה- PDF מגיעים עם כתובות URL המובילות לאתרי אינטרנט זדוניים העלולים לעשות שימוש לרעה בפרוטוקול URI search-ms:, כמו גם בפרוטוקול היישום search:. הפרוטוקטל מאפשר לאפליקציות ולקישורי HTML להפעיל חיפושים מקומיים מותאמים אישית, כאשר הפרוטוקול משמש כמנגנון לקריאה לאפליקציית החיפוש בשולחן העבודה ב- Windows. כתוצאה מכך, מבצעים הקורבנות בסופו של דבר חיפושים בשרת הנשלט על ידי פושעי הסייבר המספקים נוזקה, המוצגת בסייר Windows. נוזקה זו מוסווית כקובץ PDF, אותו מוזמנים הקורבנות להוריד ולהפעיל במחשב שלהם. הנוזקה מאוחסנת בשרתי WebDAV שבעצמם, ככל הנראה, מתארחים בנתבים של Ubiquiti שנפרצו.
נכון לעכשיו לא ידוע מי הם הקורבנות, אולם ניתן לשער שהם מאותן מדינות כמו הממשלה והארגונים לא ממשלתיים המזוייפים שהתחזו: ארגנטינה, אוקראינה, גאורגיה, בלארוס, קזחסטן, פולין, ארמניה, אזרבייג'ן וארה"ב. הקורבנות הנופלים בסופו של דבר במלכודת מתקינים את MASEPIE, OCEANMAP ו- STEELHOOK – נוזקות שנועדו לגנוב קבצים, להריץ פקודות שרירותיות ולגנוב נתוני דפדפן. "פושעי הסייבר מסתגלים לשינויים על ידי אספקת מתודולוגיות זיהום חדשות ומינוף תשתית מסחרית זמינה, תוך התפתחות עקבית של יכולות להטמיע ולהפעיל נוזקות", סיכמו חוקרי הסייבר.
