Február végén a Mandiant kutatói arra lettek figyelmesek, hogy az APT 29 nevű, elsősorban Oroszországhoz köthető kiberbűnözői csoport a WINELOADER backdoor egy új változatát használja fel német politikai pártok ellen. A Mandiant szerint ez az első alkalom, melyben arra figyeltek fel, hogy a csoport politikai pártokat célzott meg.
Az érintett szervezetek március 1-jén egy vacsoraestre szóló meghívónak álcázott adathalász e-mail-t kaptak, amelyeken a német politikai párt, a Kereszténydemokrata Unió (CDU) logója szerepelt. A német nyelven íródott levelek egy olyan linket is tartalmaztak, amely egy ismeretlen oldalon található rosszindulatú ZIP fájlhoz vezetett. A ZIP fájl egy ROOTSAW „droppert” tartalmazott, mely egy dokumentumot töltött le az adott számítógépre (amely szintén CDU témájú), illetve egyúttal a WINELOADER backdoor is telepítésre került a waterforvoiceless[.]org/util.php címről. A WINELOADER backdoor több olyan attribútummal és funkcióval rendelkezik, amelyek más kártevőkre is jellemzők, mint például a BURNTBATTER, a MUSKYBEAT és a BEATDROP.
A kutatók szerint ezek a jelek arra utalhatnak, hogy valószínűleg ugyanazok az emberek fejleszthették őket. A Zscaler ThreatLabz kutatói először 2023 februárjában észlelték a WINELOADER-t, és az akkor rendelkezésre álló információk alapján a szakemberek a kampányt egy SPIKEDWINE nevű APT csoportnak tulajdonították.
A Zscaler most felhívta a figyelmet, hogy a SPIKEDWINE egy korábban ismeretlen csoport volt, akik főként európai tisztviselőket vettek célba kampányaik során. A kiberkémek egy olyan PDF dokumentumot juttattak el a kiszemeltek számára, amelyet India nagykövetének meghívójaként álcáztak, melyben egy borkóstolóra invitálta a diplomatákat.
