Da inizio 2021, i ricercatori di Proofpoint hanno monitorato le campagne di e-mail dannose del gruppo cybercriminale TA499, allineato alla Russia, noto pubblicamente come Vovan e Lexus. Le sue campagne hanno iniziato a crescere a fine gennaio 2022, culminando in tentativi sempre più aggressivi dopo l’invasione dell’Ucraina da parte della Russia a fine febbraio 2022.
Da quel momento, l’attore della minaccia si è impegnato in un’attività costante e ha esteso il suo target includendo importanti uomini d’affari e persone di alto profilo che si sono esposte supportando agli impegni umanitari ucraini con donazioni o rilasciando dichiarazioni pubbliche sulla disinformazione e la propaganda russa. Questi messaggi cercano di sollecitare informazioni dalle persone prese di mira e indurle a ulteriori contatti tramite telefonate o video a distanza. Le e-mail non contengono malware, ma solo comunicazioni o inviti che sembrano provenire da un’ambasciata ucraina, dal Primo Ministro ucraino, da un parlamentare ucraino o dai loro assistenti.