Le groupe d’analyse des menaces (TAG) de Google a observé un nombre croissant d’acteurs malveillants utilisant la guerre en Ukraine « comme leurre dans des campagnes de phishing et de logiciels malveillants » des groupes de hackers affiliés à des États (Advanced persistent threats – APT), et qu’ils « ciblent de plus en plus les entités d’infrastructures critiques, notamment le pétrole et le gaz, les télécommunications et la fabrication » :
« Des acteurs soutenus par le gouvernement de Chine, d’Iran, de Corée du Nord et de Russie, ainsi que divers groupes non attribués, ont utilisé divers thèmes liés à la guerre ukrainienne dans le but d’amener des cibles à ouvrir des e-mails malveillants ou à cliquer sur des liens malveillants. »
APT28 ou Fancy Bear, un acteur lié au GRU russe, a été observé en train de cibler des utilisateurs en Ukraine avec une nouvelle variante de malware qui, lorsqu’il est exécuté, « vole les cookies et les mots de passe enregistrés des navigateurs Chrome, Edge et Firefox ».
COLDRIVER, également surnommé Callisto, « continue d’utiliser des comptes Gmail pour envoyer des e-mails de phishing » à des responsables gouvernementaux et de la défense, des politiciens, des ONG et des groupes de réflexion, ainsi que des journalistes.
Curious Gorge, un groupe que TAG estime être lié à la Force de soutien stratégique de l’Armée populaire de libération chinoise, a quant à elle ciblé des « organisations gouvernementales, militaires, logistiques et manufacturières en Ukraine, en Russie et en Asie centrale », et compromis « plusieurs sous-traitants et fabricants de défense russes et une société de logistique russe ».