Proofpoint zufolge hat Star Blizzard das Volumen schädlicher E-Mails in den vergangenen zwei Wochen im Vergleich zum üblichen Betriebstempo deutlich gesteigert. Auch die Aktivität vom 26. März stellte einen ähnlichen Anstieg dar und markierte zugleich eine veränderte Vorgehensweise: Statt schädlicher Anhänge enthielten die Nachrichten nun Links.
Bei der automatisierten Analyse wurde Proofpoint auf ein harmloses Täuschungs-PDF umgeleitet. Das Unternehmen führt dies auf eine serverseitige Filterung zurück, die offenbar nur iPhone-Browser zum Exploit-Kit weiterleitet, während andere Anfragen auf den unverfänglichen Köder umgelenkt werden.
Als Beleg dafür, dass Star Blizzard DarkSword in sein Arsenal aufgenommen hat, nennt Proofpoint einen DarkSword-Loader, der zu VirusTotal hochgeladen wurde und auf eine mit der Gruppe verbundene Second-Stage-Domain verweist, sowie eine Einreichung bei URLScan, die den Einsatz des Exploits zeigt. Es ist das erste Mal, dass die Gruppe Apple-Geräte und iCloud-Konten angreift.
Nach Darstellung von Proofpoint lieferte eine bekannte Star-Blizzard-Domain das DarkSword-Exploit-Kit aus, darunter den ursprünglichen Umleiter, den Exploit-Loader, die Komponente zur Remote-Code-Ausführung sowie eine Komponente zur Umgehung des PAC-Schutzes. Die Sandbox-Ausbrüche wurden dagegen nicht beobachtet.
Die eigentliche Auslieferung des Exploit-Kits konnte das Unternehmen nicht direkt feststellen. Es geht jedoch davon aus, dass die russische APT das Kit zur Erbeutung von Zugangsdaten und zur Informationssammlung übernommen hat, nachdem jemand es auf GitHub geleakt hatte.
Die auf den Atlantic Council ausgerichtete Kampagne traf Einrichtungen aus den Bereichen Finanzen, Regierung, Hochschulbildung und Recht sowie Denkfabriken. Das deute laut Proofpoint darauf hin, dass die neue Fähigkeit TA446 dazu veranlasst habe, DarkSword opportunistisch gegen einen breiteren Kreis von Zielen einzusetzen.
