Desde 2022, hackers russos ligados ao GRU (serviço de inteligência militar da Rússia) têm conduzido uma campanha de ciberespionagem contra empresas de logística e tecnologia do Ocidente envolvidas no envio de ajuda à Ucrânia. A operação é atribuída ao grupo APT28 (também conhecido como BlueDelta, Fancy Bear ou Forest Blizzard), vinculado à Unidade Militar 26165.

Segundo um comunicado conjunto de agências de segurança de países como EUA, Reino Unido, Alemanha, França, e outros, os alvos principais incluem empresas responsáveis pelo transporte, coordenação e entrega de assistência internacional à Ucrânia. A campanha faz parte de uma estratégia ampla que também envolveu ataques a câmeras IP em países da OTAN e fronteiras ucranianas. As táticas utilizadas incluem ataques de força bruta, spear phishing, exploração de vulnerabilidades conhecidas em sistemas como Roundcube, Horde, Outlook (CVE-2023-23397), VPNs corporativas e até o WinRAR (CVE-2023-38831).

Uma vez dentro dos sistemas, os hackers conduzem reconhecimento, acessam e manipulam permissões de caixas de e-mail e extraem listas de usuários do Office 365. As ferramentas empregadas nos ataques incluem Impacket, PsExec, RDP, Certipy e ADExplorer. Para manter acesso e roubar dados, os invasores utilizam malwares como HeadLace e MASEPIE, além de comandos PowerShell e protocolos como IMAP e EWS. A campanha revela um esforço estratégico russo para monitorar e interferir nas operações logísticas de apoio à Ucrânia. Paul Chichester, diretor do NCSC britânico, destacou o risco grave que esses ataques representam às organizações envolvidas com a ajuda internacional ao país.