Hackers patrocinados pelo estado russo, conhecidos como APT28, realizaram ataques de retransmissão de hashes NT LAN Manager (NTLM) v2 de abril de 2022 a novembro de 2023, visando alvos de alto valor em todo o mundo. APT28, também conhecido por vários outros nomes como Fancy Bear e Sofacy, é operado pelo serviço de inteligência militar da Rússia, GRU, e tem um histórico de campanhas de spear-phishing e comprometimentos estratégicos da web para ativar cadeias de infecção. Esses ataques visam organizações envolvidas em assuntos estrangeiros, energia, defesa e transporte, bem como aquelas ligadas ao trabalho, bem-estar social, finanças, paternidade e conselhos municipais locais.

A Trend Micro avaliou essas intrusões como um método custo-eficiente de automatizar tentativas de forçar a entrada nas redes de seus alvos, notando que o adversário pode ter comprometido milhares de contas de e-mail ao longo do tempo.

Em abril de 2023, o APT28 foi implicado em ataques que exploravam falhas corrigidas em equipamentos de rede da Cisco para realizar reconhecimento e implantar malware contra alvos selecionados.

Em dezembro, o ator de ameaça ganhou destaque por explorar uma falha de escalonamento de privilégios no Microsoft Outlook (CVE-2023-23397) e um bug de execução de código no WinRAR (CVE-2023-38831) para acessar o hash Net-NTLMv2 de um usuário e usá-lo para realizar um ataque de retransmissão NTLM para obter acesso não autorizado a caixas de correio pertencentes a empresas dos setores público e privado.

Uma das características significativas dos ataques do ator de ameaça é a tentativa contínua de aprimorar seu playbook operacional, ajustando e modificando suas abordagens para evitar a detecção. Isso inclui a adição de camadas de anonimização, como serviços VPN, endereços IP de data centers e roteadores EdgeOS comprometidos, para realizar atividades de varredura e sondagem. Outra tática envolve o envio de mensagens de spear-phishing de contas de e-mail comprometidas através de Tor ou VPN.