Uma campanha de spear phishing foi identificada visando funcionários do governo europeu que ajudam refugiados ucranianos. A campanha ainda está em andamento e está sendo rastreada como Asylum Ambuscade.

Os hackers comprometeram uma conta de e-mail de um membro do serviço armado ucraniano para atingir funcionários do governo europeu que ajudam refugiados que fogem da Ucrânia. O anexo usa a Reunião de Emergência do Conselho de Segurança da OTAN como isca.

Os especialistas identificaram semelhanças entre a recente cadeia de infecção e outros ataques observados em julho de 2021 (vinculados ao grupo Ghostwriter APT), sugerindo que o mesmo ator de ameaça pode estar por trás disso.

Os pesquisadores sugeriram que o objetivo da campanha poderia ser explorar a inteligência em torno dos movimentos de refugiados na Europa para desinformação e talvez comprometer as entidades da OTAN durante o conflito armado entre a Rússia e a Ucrânia.

Desde a invasão da Rússia, o grupo Ghostwriter APT lançou vários ataques às contas de e-mail privadas de militares da Ucrânia. Em ataques recentes, os invasores usaram a infraestrutura do remetente comprometida para espalhar e-mails de phishing e empregaram o pacote MSI como instalador de malware baseado em Lua.