Широкомасштабная шпионская активность была направлена на дипломатов, работающих как минимум в 22 из примерно 80 иностранных представительств в Киеве, как следует из отчета аналитиков исследовательского подразделения Unit 42 компании Palo Alto Networks, занимающейся кибербезопасностью.
По данным специалистов, в середине апреля 2023 года польский дипломат разослал по электронной почте в различные посольства объявление о продаже подержанного седана BMW 5-й серии, находящегося в Киеве. Хакеры, известные как APT29 или Cozy Bear, перехватили это объявление и внедрили в него вредоносное программное обеспечение, замаскировав его под альбом с фотографиями подержанного BMW. Попытки открыть эти фотографии приводили к заражению компьютера пользователя, говорится в отчете. Кроме того, они снизили указанную польским дипломатом продажную цену на автомобиль, чтобы побудить людей загрузить вредоносное программное обеспечение, позволяющее получить удаленный доступ к их устройствам, и разослали объявление десяткам других иностранных дипломатов, работающих в Киеве.
Двадцать одно из 22 посольств, ставших жертвами хакеров и с которыми впоследствии связалось агентство Reuters, не предоставили комментариев. Неясно, какие именно посольства были взломаны, если таковые вообще были. Как заявил представитель Госдепартамента США, Вашингтон "знает об этой активности и на основании анализа, проведенного Управлением кибер- и технологической безопасности, пришел к выводу, что она не затронула системы или учетные записи департамента".
В 2021 году американские и британские спецслужбы идентифицировали APT29 как подразделение Службы внешней разведки России (СВР). В апреле 2023 года польская контрразведка и органы кибербезопасности предупредили, что та же группа проводила "широкомасштабную разведывательную кампанию" против стран-членов НАТО, Европейского союза и Африки.
Исследователи из Unit 42 смогли связать фальшивую рекламу автомобиля с APT29, поскольку хакеры повторно использовали некоторые инструменты и методы, которые применялись ими ранее.