Em uma ação conjunta, a Microsoft e o Departamento de Justiça dos EUA (DoJ) anunciaram a apreensão de 107 domínios usados por cibercriminosos russos para realizar fraudes e abusos online. Os invasores, ligados ao governo russo, usaram esses domínios para se passar por fontes confiáveis e roubar informações confidenciais de cidadãos americanos. De acordo com a vice-procuradora-geral Lisa Monaco, o esquema envolvia e-mails falsos que pareciam legítimos, induzindo as vítimas a fornecerem dados pessoais e credenciais.

A responsabilidade foi atribuída ao grupo de cibercriminosos COLDRIVER, também conhecido por diversos outros nomes, como Blue Callisto e Star Blizzard. Esse grupo está ativo desde 2012 e é ligado ao FSB, o serviço de segurança russo. Dois membros do COLDRIVER foram sancionados pelos EUA e Reino Unido em 2023, após realizarem ataques de spear-phishing (e-mails direcionados para roubo de credenciais). Posteriormente, em 2024, a União Europeia impôs sanções adicionais aos mesmos indivíduos.

Os 41 domínios mais recentes apreendidos foram utilizados para obter acesso a computadores de agências governamentais dos EUA e roubar informações valiosas. Além disso, uma ação civil da Microsoft resultou na apreensão de outros 66 domínios usados pelo grupo, que também miravam ONGs e think tanks envolvidos em apoio à Ucrânia e países da OTAN.

A Microsoft revelou que o COLDRIVER atacou 82 de seus clientes entre janeiro de 2023 e agosto de 2024, demonstrando a habilidade do grupo em criar e-mails de phishing altamente personalizados, projetados para comprometer as contas de ex-funcionários de inteligência e outros alvos de alto perfil. Steven Masada, da Unidade de Crimes Digitais da Microsoft, explicou que os ataques exploram a confiança e familiaridade nas interações digitais, fazendo com que as vítimas, sem saber, compartilhem informações confidenciais.