A Cert-UU szerint a támadások ebben a hónapban kezdődtek. A támadók átverés üzenetet küldenek Camouflage -dokumentumokat tartalmaznak a megbeszélésekről szóló jelentésekként. Amikor néhány üzenet a célcélok fiókjaiból származik, valószínű, hogy a címzett megnyitja a csatolt fájlokat.
A fertőző tároló PDF fájlt és egy futtatható fájlt tartalmaz. A PDF csaliként működik az áldozatok megnyitásához és a második fájl elindításához, ez egy Crypor/Loader, úgynevezett darktortilla. Ez a program dekódolja és végrehajtja a Dark Crystal Rat (DCRAT) trójai program parancsát.
A CERT-UU-t az UAC-0200 fenyegető csoportban támadták meg, amely 2024 június óta a Signal Platformot használja hasonló támadásokhoz.
A Google hírszerző csoportja (GTIG) 2025 februárjában jelentette be, hogy az orosz hackerek visszaéltek a „társult eszköz” funkcióval, hogy illegális hozzáférést kapjanak egyes számlákhoz.
A Cert-Buel és a GTIG szakértői azt javasolják, hogy a felhasználók jelzik a fájl kikapcsolását, hogy automatikusan és vigyázzanak a mellékelt fájlokat tartalmazó üzenetekkel. Ezenkívül ellenőrizze a rendszeresen csatlakoztatott eszközök listáját, Ez lehetővé teszi két elem hitelesítését is, és mindig a legújabb verzióval biztonságos.
