İnternet devi Google, uyarıların 2020'ye göre %33'lük bir artışa işaret ettiğini ve artışın büyük ölçüde "APT28 veya Fancy Bear olarak bilinen bir Rus aktörün alışılmadık derecede büyük bir kampanyasını engellemekten'' kaynaklandığını söyledi.
Ek olarak Google, APT35 (aka Charming Kitten, Phosphorous veya Newscaster) olarak izlenen İran devlet destekli bir saldırgan grup tarafından düzenlenen ve düşünce kuruluşlarını, gazetecileri hedef alan "SpoofedScholars Operasyonu" adlı karmaşık bir sosyal mühendislik saldırısı da dahil olmak üzere bir dizi kampanyayı bozduğunu söyledi.Londra Üniversitesi Doğu ve Afrika Çalışmaları Okulu (SOAS) akademisyenler gibi davranarak hassas bilgileri talep etme hedefindeler.
Saldırının ayrıntıları ilk olarak Temmuz 2021'de kurumsal güvenlik firması Proofpoint tarafından kamuya açık olarak belgelendi.
Diğer geçmiş saldırılar, Google Play Store'a yüklenen ve yüklendiğinde arama kayıtları, metin mesajları, kişiler ve virüslü cihazlardan konum verileri gibi hassas bilgileri sifonlamak için kullanılabilecek casus yazılım bulaşmış bir VPN uygulamasının kullanımını içeriyordu. Ayrıca, APT35 tarafından benimsenen alışılmadık bir taktik, sayfalara yerleştirilmiş kötü amaçlı JavaScript aracılığıyla kontrolleri altındaki kimlik avı siteleri gerçek zamanlı olarak ziyaret edildiğinde saldırganları bilgilendirmek için Telegram'ın kullanılmasıyla ilgiliydi.
Tehdit aktörünün ayrıca, yüksek profilli bireyleri ziyaret etmeye teşvik etmek için bir kimlik avı kampanyasının parçası olarak Münih Güvenlik ve Think-20 (T20) İtalya konferansları etrafında modellenen "kötü amaçlı olmayan ilk iletişim e-posta mesajları" göndererek politika yetkililerini taklit ettiği söyleniyor.
Google TAG'den Ajax Bash, "Bu grup yıllardır hesapları ele geçirdi, kötü amaçlı yazılım dağıttı ve İran hükümetinin çıkarlarıyla uyumlu casusluk yapmak için yeni teknikler kullandı" dedi.
