Um grupo de ciberespionagem alinhado à Rússia, conhecido como TAG-110 ou UAC-0063, foi identificado conduzindo uma campanha de phishing direcionada ao governo do Tajiquistão. Segundo análise de especialistas, os cibercriminosos estão utilizando modelos do Microsoft Word com macros habilitadas como vetor inicial de infecção, marcando uma mudança tática em relação ao uso anterior de arquivos HTA contendo o malware HATVIBE.

Historicamente, o TAG-110 tem como alvos instituições públicas da Ásia Central, incluindo governos, universidades e centros de pesquisa, com o provável objetivo de obter informações sensíveis para influenciar decisões políticas ou de segurança durante eventos estratégicos, como eleições ou crises geopolíticas. Ativo desde pelo menos 2021, o grupo é associado ao APT28, grupo de hackers ligado ao Estado russo.

A nova campanha, detectada desde janeiro de 2025, abandona o uso de arquivos HTA embutidos e passa a usar arquivos de modelo Word (.DOTM), que instalam automaticamente um template malicioso na pasta de inicialização do Word, garantindo persistência. Esses arquivos contêm macros VBA que se comunicam com servidores de comando e controle (C2), permitindo a execução de códigos adicionais. O conteúdo exato das cargas secundárias ainda não foi determinado, mas especialistas indicam que pode incluir variantes de malwares como HATVIBE, CHERRYSPY ou LOGPIE. Os e-mails maliciosos exploram documentos temáticos do governo do Tajiquistão como isca, o que reforça a tática do grupo de disfarçar arquivos infectados como documentos legítimos. A autenticidade desses arquivos, no entanto, não foi confirmada pela empresa de segurança.