Под удар попали члены украинского правительства, а также работники оборонных и правоохранительных ведомств.
Согласно отчету , опубликованному Cisco Talos, новый вредонос был разработан для кражи ценных файлов и развертывания дополнительных полезных нагрузок. Злоумышленники распространяют инфостилер с помощью фишинговых документов Microsoft Office, в которых содержатся шаблоны с макросами VBScript, загружающими и распаковывающими RAR-архивы, внутри которых находятся LNK-файлы, запускающие инфостилер с помощью PowerShell-скрипта.
Инфостилер используется для кражи файлов с расширениями .doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z и .mdb.
Эксперты приписывают атаки с использованием нового вредоноса группировке Gamaredon из-за сильной схожести тактик, техник и процедур (ТТП), примененных хакерами в ходе этой вредоносной кампании, с теми, которые Gamaredon применяла в прошлых атаках. Cisco Talos отмечает, что новый инфостилер не использовался в предыдущих кампаниях Gamaredon, но может быть частью семейства бэкдоров, разработанных группировкой.