Các chuyên gia an ninh mạng của Microsoft cho biết mục tiêu của Star Blizzard thường liên quan đến các tổ chức, cá nhân thuộc cơ quan chính phủ hoặc ngoại giao (bao gồm cả những người đương nhiệm và trước đây), các nhà nghiên cứu chính sách quốc phòng hoặc quan hệ quốc tế có công trình liên quan đến Nga và các nguồn hỗ trợ cho Ukraine liên quan đến cuộc xung đột Nga - Ukraine.

Star Blizzard (tên gọi trước đây là SEABORGIUM) là một nhóm tin tặc có liên quan đến Nga, nổi tiếng với các chiến dịch thu thập thông tin xác thực. Hoạt động ít nhất từ ​​năm 2012, nhóm này cũng được theo dõi dưới các biệt danh như Blue Callisto, BlueCharlie (hoặc TAG-53), Calisto (còn được viết là Callisto), COLDRIVER, Dancing Salome, Gossamer Bear, Iron Frontier, TA446 và UNC4057.

Các chuỗi tấn công được quan sát trước đây bao gồm việc gửi email lừa đảo đến các mục tiêu, thường là từ tài khoản Proton, đính kèm các tài liệu chứa liên kết độc hại chuyển hướng đến một trang do Evilginx cung cấp, có khả năng thu thập thông tin đăng nhập và mã xác thực hai yếu tố (2FA) thông qua một cuộc tấn công trung gian (AiTM).

Star Blizzard cũng có liên quan đến việc sử dụng các nền tảng tiếp thị qua email như HubSpot và MailerLite để che giấu địa chỉ người gửi email thực sự và loại bỏ nhu cầu đưa cơ sở hạ tầng tên miền do tác nhân kiểm soát vào các thông điệp email.

Vào cuối năm 2024, Microsoft và Bộ Tư pháp Mỹ (DoJ) đã công bố việc thu giữ hơn 180 tên miền được tin tặc sử dụng để nhắm vào các nhà báo, tổ chức nghiên cứu và tổ chức phi chính phủ (NGO) từ tháng 01/2023 đến tháng 8/2024. Gã khổng lồ công nghệ đánh giá việc công khai các hoạt động của mình có thể đã thúc đẩy nhóm tin tặc thay đổi chiến thuật bằng cách xâm phạm tài khoản WhatsApp. Tuy nhiên, chiến dịch này dường như đã bị hạn chế và kết thúc vào cuối tháng 11/2024.

Bắt đầu bằng một email lừa đảo có nội dung như được gửi từ một viên chức Chính phủ Mỹ để tạo vẻ ngoài hợp pháp và tăng khả năng nạn nhân sẽ tương tác với họ. Tin nhắn chứa mã QR thúc giục người nhận tham gia vào một nhóm WhatsApp được cho là về "những sáng kiến ​mới nhất nhằm hỗ trợ các tổ chức phi chính phủ của Ukraine". Tuy nhiên, mã này đã bị phá vỡ một cách có chủ đích để kích hoạt phản hồi từ nạn nhân.

Nếu người nhận email trả lời, Star Blizzard sẽ gửi tin nhắn thứ hai, yêu cầu họ nhấp vào liên kết rút gọn tại[.]ly để tham gia nhóm WhatsApp, đồng thời xin lỗi vì sự bất tiện đã gây ra.

Trong trường hợp mục tiêu làm theo hướng dẫn trên trang web ("aerofluidthermo[.]org"), cách tiếp cận này cho phép kẻ tấn công truy cập trái phép vào tin nhắn WhatsApp của họ và thậm chí đánh cắp dữ liệu thông qua tiện ích bổ sung của trình duyệt.

Những cá nhân thuộc các nhóm mục tiêu của Star Blizzard được khuyến cáo nên thận trọng khi xử lý các email có chứa liên kết đến các nguồn bên ngoài.

Chiến dịch này đánh dấu sự thay đổi các phương thức tấn công lâu đời của tin tặc Star Blizzard, đồng thời nhấn mạnh mối đe dọa trong việc tin tặc tiếp tục các chiến dịch lừa đảo qua email để có được quyền truy cập vào thông tin nhạy cảm của nạn nhân ngay cả khi hoạt động của chúng liên tục bị suy yếu.