Утверждается, что за атаками, предположительно, стоит северокорейская хакерская группировка Konni. По данным Black Lotus Labs, злоумышленники ещё в октябре начали фишинговую кампанию: одним дипломатам они разослали архивы с документами и предложили сообщить данные о статусе вакцинации, другим — ссылки на загрузку фальшивой программы для регистрации привитых в федеральном регистре вакцинированных. Якобы в результате этого была скомпрометирована учётная запись одного из сотрудников МИД РФ. Затем 20 декабря, пишет «Коммерсант», с этого аккаунта хакеры отправили фишинговое письмо замглавы министерства Сергею Рябкову. Ещё одно письмо с заражённым архивом ушло в посольство России в Индонезии.
«Письмо с зараженным трояном архивом «поздравление.zip» 20 декабря направлено и посольству РФ в Индонезии якобы от посольства в Сербии, отметили в Cluster25. В Black Lotus Labs уточнили, что определили двух получателей рассылки, но их наверняка больше», — сообщает газета.
Хакерская группа Konni (APT37) известна с 2017 года. В своих атаках она использовала, в частности, документы, касающиеся отношений РФ и КНДР, причём киберпреступники брали тексты из публичных источников.