Um grupo desconhecido de ameaça persistente avançada (APT) foi vinculado a uma série de ataques de spear phishing direcionados a entidades governamentais russas desde o início da guerra russo-ucraniana no final de fevereiro de 2022.

As campanhas foram projetadas para implantar um Trojan de acesso remoto (RAT) que pode ser usado para vigiar os computadores infectados e executar comandos remotamente.

A empresa Malwarebytes, atribuiu os ataques com baixa confiança a um grupo hacker chinês, citando sobreposições de infraestrutura entre o malware RAT e Sakula Rat usado por um agente de ameaças conhecido como Deep Panda.

A campanha começou por volta de 26 de fevereiro, dias após a invasão militar da Ucrânia pela Rússia, com os e-mails distribuindo o RAT sob o disfarce de um mapa interativo da Ucrânia (“interactive_map_UA.exe”).