Vastavalt tõenditele, mille leidsid CSIRT MON, riigi arvutiturvalisuse intsidentidele reageerimise rühm (mida juhib Poola riigikaitseminister) ja CERT Polska (Poola arvutite hädaolukordadele reageerimise rühm), ründasid Venemaa APT28 riigi häkkerid ulatusliku andmepüügikampaania käigus mitut valitsusasutust.
Andmepüügimeilides üritati petta vastuvõtjaid klõpsama varjatud lingile, mis annaks neile juurdepääsu lisateabele „salapärase Ukraina naise“ kohta, kes müüb „kasutatud aluspesu“ Poola ja Ukraina kõrgematele ametivõimudele.
Kui lingile klikkisid, suunati nad läbi mitme veebisaidi, enne kui nad jõudsid lehele, mis laadis alla ZIP-arhiivi. Arhiiv sisaldas pahatahtlikku käivitatavat faili, mis oli maskeeritud JPG-pildifailiks.
Varjatud skript kuvab seejärel Microsoft Edge’i brauseris tähelepanu kõrvalejuhtimiseks foto naisest ujumisriietes, kogudes samal ajal teavet arvuti kohta, sh IP-aadressi ja faile.
Sama taktikat on varemgi kasutatud. Hiljuti petsid Vene küberrühmituse APT28 operaatorid 13 riigi ametnikke infoga Iisraeli-Hamasi sõjast.
Alates 2000. aastate keskpaigast on Venemaa riigi toetatud häkkerirühmitus koordineerinud mitmeid kõrgetasemelisi küberrünnakuid ning 2018. aastal seostati seda GRU sõjalise üksusega 26165.
APT28 häkkerid olid samuti 2016. aasta USA presidendivalimisi Demokraatliku Rahvuskomitee ja Demokraatliku Kongressi Kampaaniakomitee häkkimise ning 2015. aastal Saksamaa Liidupäeva rikkumise taga.
Nädal tagasi mõistsid NATO ja Euroopa Liit koos rahvusvaheliste partneritega ametlikult hukka ka pikaajalise APT28 küberspionaažikampaania mitme Euroopa riigi, sealhulgas Saksamaa ja Tšehhi vastu.