Die Phishing-Mails waren nach Darstellung von F6 sorgfältig auf Beschäftigte in Buchhaltung und Finanzwesen zugeschnitten. Versendet wurden sie von scheinbar legitimen, vermutlich aber kompromittierten Konten – darunter eines, das einem in Moskau ansässigen Entwickler von Web- und Mobilanwendungen gehört.

Die angehängten Dateien steckten in passwortgeschützten Archiven, die als alltägliche Geschäftsunterlagen getarnt waren, etwa als Rechnungen, Abstimmungsbelege oder Versandpapiere. Öffneten die Opfer das Archiv und führten eine darin verborgene Datei aus, infizierte sich ihr Rechner mit DarkWatchman – einem Remote-Access-Trojaner, der den Angreifern verdeckte Kontrolle über die befallenen Systeme verschafft.

DarkWatchman erlaubt es laut den Forschern, Befehle aus der Ferne auszuführen, weitere Schadwerkzeuge nachzuladen und sich seitlich durch das Firmennetz zu bewegen. Die Schadsoftware wird Hive0117 seit mindestens 2021 zugeschrieben und üblicherweise über Phishing-Kampagnen verbreitet.

Mit der Kontrolle über den Rechner eines Buchhalters konnten sich die Angreifer in die Online-Banking-Portale der Unternehmen einloggen und Transaktionen direkt vom kompromittierten System aus anstoßen, sodass die Aktivität legitim wirkte. In der jüngsten Kampagne nutzten sie die Lohnabrechnungsmechanismen aus: Sie erstellten Zahlungsaufträge, die an Bankkonten aus einem Verzeichnis geknüpft waren, die scheinbar Mitarbeitern gehörten, tatsächlich aber von den Angreifern kontrolliert wurden. Passierten diese Überweisungen die Betrugskontrollen der Banken, ließen sich hohe Summen von den Firmenkonten abziehen.

Hive0117 ist seit Ende 2021 aktiv und nimmt vorrangig Finanzabteilungen unterschiedlicher Branchen ins Visier. Während sich die jüngsten Angriffe auf russische Organisationen konzentrierten, zielten frühere Aktivitäten laut F6 auch auf Nutzer in Litauen, Estland, Belarus und Kasachstan. Forscher hatten zuvor erklärt, die Operationen der Gruppe stünden offenbar nicht im Zusammenhang mit dem breiteren Cyberkonflikt zwischen Russland und der Ukraine; die Herkunft der Angreifer bleibt unbekannt.

Die aktuelle Kampagne folgt auf frühere Aktivitäten, über die F6 im vergangenen Jahr berichtete, als die Gruppe eine modifizierte Variante von DarkWatchman gegen russische Unternehmen mehrerer Branchen einsetzte. 2023 beobachteten westliche Forscher zudem, wie Hive0117 in Phishing-Mails russische Behördenkommunikation imitierte und sich als Einberufungsbescheide des Militärs tarnte – eine weitere Kampagne, die dieselbe Schadsoftware verbreitete.