Um ihre Nachrichten überzeugender wirken zu lassen, legten die Angreifer laut CERT-UA bisweilen Webseiten für vorgetäuschte Organisationen an, die möglicherweise mithilfe künstlicher Intelligenz erstellt wurden. In anderen Fällen betteten sie schädliche Skripte in ansonsten legitime Webseiten ein.

Das beim Öffnen der Archivdatei installierte Schadpaket umfasste neben AgingFly auch die Werkzeuge SilentLoop, ChromeElevator und ZapixDesk. AgingFly erlaubt es den Angreifern nach Angaben von CERT-UA, einen infizierten Rechner aus der Ferne zu steuern: Sie können Befehle ausführen, Dateien herunterladen, Bildschirmfotos anfertigen, Tastatureingaben aufzeichnen und beliebigen Code ausführen. SilentLoop kann Befehle ausführen und die jeweils aktuelle Adresse des Befehls- und Kontrollservers der Angreifer über einen Telegram-Kanal abrufen.

Mit ChromeElevator versuchten die Angreifer, Anmeldedaten und weitere sensible Informationen aus Internetbrowsern auszulesen; mit dem Werkzeug ZapixDesk zielten sie auf WhatsApp-Konten. In einem Fall stießen die Ermittler auf den Einsatz von XMRig, einem legitimen Werkzeug zum Schürfen von Kryptowährung. Das deutet darauf hin, dass die Angreifer die Rechenleistung ihrer Opfer nutzten, um digitale Währung zu erzeugen.

CERT-UA warnt außerdem, dass Angehörige der ukrainischen Streitkräfte mit vergleichbaren Methoden angegriffen werden könnten. Im März erhielt die Behörde Hinweise, dass Angreifer über den Messengerdienst Signal ein angeblich aktualisiertes Softwarepaket für Drohnenpiloten verteilt hatten. Tatsächlich enthielt die Archivdatei Schadsoftware, die AgingFly installierte.

In einem davon getrennten Vorfall drangen laut einem Bericht von Reuters kürzlich mit Russland in Verbindung stehende Angreifer in mehr als 170 E-Mail-Konten von Staatsanwälten und Ermittlern in der Ukraine ein. Betroffen waren zudem Ziele in benachbarten NATO-Staaten und auf dem Balkan. Die Sicherheitsforscher von Ctrl-Alt-Intel führen diese Kampagne auf die Gruppe APT28 zurück, die auch unter den Namen Fancy Bear, BlueDelta oder Forest Blizzard bekannt ist.

Den Forschern zufolge zielten die Angreifer wahrscheinlich auf ukrainische Strafverfolger, um entweder Ermittlungen zu russischen Spionageaktivitäten zu beobachten oder potenziell sensible Informationen über hochrangige Vertreter in Kiew zu sammeln. Recorded Future News bat CERT-UA um eine zusätzliche Stellungnahme zur Fancy-Bear-Kampagne, erhielt bis zum Zeitpunkt der Veröffentlichung jedoch keine Antwort.