Um grupo hacktivista conhecido como Twelve foi identificado realizando ataques cibernéticos destrutivos contra entidades russas, utilizando ferramentas amplamente disponíveis. Em vez de exigir um resgate para a recuperação de dados, o grupo opta por criptografar as informações das vítimas e, em seguida, destruir suas infraestruturas com um malware do tipo wiper, impedindo qualquer tentativa de recuperação. De acordo com uma análise da Kaspersky, o Twelve parece focado em causar o máximo de danos possível, sem buscar ganhos financeiros diretos. O grupo foi formado em abril de 2023, logo após o início da guerra entre Rússia e Ucrânia, e tem como objetivo desestabilizar redes e operações de negócios das vítimas.

Além disso, o Twelve também realiza operações de hack-and-leak, exfiltrando informações sensíveis e compartilhando esses dados em seu canal do Telegram. Segundo a Kaspersky, há semelhanças entre as táticas do Twelve e do grupo de ransomware chamado DARKSTAR, sugerindo uma possível conexão entre os dois ou, até mesmo, que ambos façam parte do mesmo conjunto de atividades. Os ataques do Twelve começam com o abuso de contas locais ou de domínio válidas, utilizando o Remote Desktop Protocol (RDP) para movimentação lateral dentro das redes das vítimas.

Em alguns casos, os ataques são facilitados por meio dos contratados das empresas, aproveitando o acesso concedido por certificados de terceiros para se infiltrar na infraestrutura do cliente. Em um incidente investigado, o grupo explorou vulnerabilidades conhecidas no VMware vCenter, como as CVE-2021-21972 e CVE-2021-22005, para implantar um backdoor chamado FaceFish. Posteriormente, o grupo usou o PowerShell para criar novos usuários de domínio e modificar listas de controle de acesso (ACLs) em objetos do Active Directory.