После компрометации аккаунта злоумышленники по протоколу IMAP получают доступ ко всем сообщениям жертвы. Учетные записи, скомпрометированные в ходе этих атак, использовались для отправки новых фишинговых сообщений контактам в адресных книгах жертв.
Фишинговые письма рассылаются с двух доменов (i[.]ua-passport[.]space и id[.]bigmir[.]space) — первый пытается выдать себя за бесплатный интернет-портал i.ua, предоставляющий услуги электронной почты украинцам с 2008 года.
В электронных письмах жертвам предлагается перейти по встроенной ссылке, чтобы подтвердить свою контактную информацию и избежать постоянной блокировки учетных записей электронной почты.
ИБ-эксперты связали данные вредоносную кампанию с группировкой UNC1151. В 2021 году специалисты из компании Mandiant связали группировку с правительством Беларуси. Mandiant также обнаружила свидетельства, подтверждающие связь между операторами UNC1151 и белорусскими военными.