يستهدف المتسللون المؤسسات في أوروبا والأميركيتين بخداع الموظفين لتثبيت نسخة معدلة من أداة استيراد بيانات شرعية. بمجرد تثبيتها، يسمح التطبيق الخبيث للمهاجمين بسرقة معلومات حساسة، والوصول إلى خدمات السحابة، والتنقل أفقيًا عبر الشبكات لتنفيذ هجمات وابتزاز أوسع نطاقًا.
تستخدم المجموعة خلف الحملة، والتي تم تتبعها باسم UNC6040، التصيد الصوتي لخداع الموظفين ودفعهم لزيارة صفحة إعداد مزيفة والموافقة على التطبيق الخبيث. يمنح التطبيق، المُتنكر لمحاكاة أداة مؤسسية شائعة، وصولًا عميقًا إلى بيئات الشركات، مما يُتيح استخراج البيانات واختراق النظام.
أشارت مجموعة جوجل لمعلومات التهديدات إلى تأثر حوالي 20 مؤسسة، حيث تعرض بعضها لاختراقات بيانات مؤكدة. ترتبط العملية بـ "The Com"، وهي منظومة إجرامية إلكترونية غير منظمة متورطة في أنشطة غير قانونية مختلفة.
يؤكد الخبراء أن التهديد لا ينبع من ثغرات في البرامج، بل من الهندسة الاجتماعية، مما يُبرز الحاجة إلى وعي أقوى للموظفين وتحسين ضوابط تفويض التطبيقات
