A megfigyelések szerint az APT28 néven ismert orosz nemzetállami szereplő a folyamatban lévő Izrael-Hamász háborúval kapcsolatos csalikat használt fel a HeadLace nevű backdoor kihasználásának megkönnyítésére.
Az IBM X-Force “ITG05” néven követi nyomon a csoportot, amely BlueDelta, Fancy Bear, Forest Blizzard (korábban Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy és TA422 néven is ismert. Az ITG05 infrastruktúrája biztosítja, hogy csak egyetlen konkrét országból származó célpontok kaphatják meg a kártevőt, ami a kampány célzott jellegét jelzi.
A kampány célpontjai között szerepel Magyarország, Törökország, Ausztrália, Lengyelország, Belgium, Ukrajna, Németország, Azerbajdzsán, Szaúd-Arábia, Kazahsztán, Olaszország, Lettország és Románia.
A kampány során olyan csalétkeket használnak, amelyek célja elsősorban a “humanitárius segélyek elosztására közvetlen befolyással bíró” európai szervezetek kiemelése, felhasználva az ENSZ-hez, az Izraeli Bankhoz, az amerikai kongresszusi kutatószolgálathoz, az Európai Parlamenthez, egy ukrán szakértői testülethez és egy Azerbajdzsán-Belarusz kormányközi bizottsághoz kapcsolódó dokumentumokat.
A támadások némelyikében a CVE-2023-38831 nevű WinRAR hibát használták a HeadLace terjesztésére, amelyet először az ukrán CERT hozott nyilvánosságra az ország kritikus infrastruktúrája ellen irányuló támadások során.
A közzététel egy héttel azután történt, hogy a Microsoft, a Palo Alto Networks Unit 42 és a Proofpoint részletesen bemutatta, hogy egy támadó sikeresen kihasználta a Microsoft Outlook egy kritikus biztonsági hibáját (CVE-2023-23397, CVSS pontszám: 9,8), hogy jogosulatlan hozzáférést szerezzen az áldozatok fiókjaihoz az Exchange szervereken belül.
A hivatalos dokumentumok, mint csalik, eltérést jelent a korábban megfigyelt tevékenységtől, “ami azt jelzi, hogy az ITG05 fokozott hangsúlyt fektet egy olyan egyedi célközönségre, amelynek érdekei interakcióra késztetnék a kialakulóban lévő politikát befolyásoló anyagokkal”.