O grupo de hackers russos Void Blizzard, também conhecido como Laundry Bear, está por trás de uma campanha de espionagem cibernética que atingiu mais de 20 ONGs na Europa e nos Estados Unidos, segundo relatório da Microsoft. Ativo desde abril de 2024, o grupo é vinculado a interesses estratégicos do governo russo e tem como alvo organizações dos setores governamental, defesa, transporte, mídia, saúde e, principalmente, aquelas que apoiam a Ucrânia ou pertencem à OTAN.

Os ataques utilizam credenciais roubadas, obtidas em mercados clandestinos, para acessar serviços como Exchange e SharePoint Online, onde coletam grandes volumes de e-mails e arquivos. Em muitos casos, o grupo também explora o Microsoft Entra ID para mapear usuários, grupos e dispositivos da organização comprometida, utilizando a ferramenta AzureHound. Recentemente, Void Blizzard passou a empregar táticas mais diretas, como páginas falsas de login do Microsoft Entra, criadas com o kit de phishing Evilginx.

As vítimas recebem e-mails supostamente enviados por organizadores de um evento europeu de defesa, contendo convites em PDF com QR Codes maliciosos. Ao escaneá-los, são redirecionadas para o domínio fraudulento “micsrosoftonline[.]com”, onde suas credenciais são capturadas. Após a invasão, os hackers automatizam a coleta de dados em larga escala e acessam até mesmo conversas no Microsoft Teams. O grupo também foi responsável pela invasão de uma conta da polícia holandesa em setembro de 2024, usando uma técnica chamada “pass-the-cookie”, que dispensa senhas ao reutilizar cookies roubados por malwares.