Snowblind
A Lumen Technologies Black Lotus Labs csapata felfedezett egy hosszú ideje tartó kampányt, amelyet a Secret Blizzard néven ismert oroszországi fenyegetési szereplő (más néven Turla) hajtott végre. Ez a csoport sikeresen beépült a pakisztáni Storm-0156 (más néven SideCopy és Transparent Tribe) nevű szereplő 33 különálló irányító és vezérlő (C2) csomópontjába. A kampány során a Secret Blizzard kihasználta a Storm-0156 által megszerzett hozzáféréseket, hogy saját kártevőit, a TwoDash-t és a Statuezy-t telepítse afgán kormányzati hálózatokba. 2023 áprilisában a Secret Blizzard tovább terjeszkedett, és hozzáférést szerzett a pakisztáni operátorok munkaállomásaihoz, így betekintést nyerve azok eszközeibe, hitelesítő adataiba és korábban gyűjtött adataiba. 2024 közepére a Secret Blizzard más kártevőcsaládokat is használt, mint a Waiscot és a CrimsonRAT, amelyeket a pakisztáni munkaállomásokról szereztek meg. A CrimsonRAT-et korábban indiai kormányzati és katonai célpontok ellen alkalmazták. A Lumen Technologies köszönetet mond a Microsoft Threat Intelligence Teamnek (MSTIC) a fenyegetés nyomon követésében és enyhítésében nyújtott értékes hozzájárulásukért.
Ez a kampány példaértékű abból a szempontból, hogy hogyan használhatók fel más szereplők erőforrásai egy hosszú távú és nagy hatású művelethez. Az ilyen „lopakodó kihasználási” stratégiák a jövőben is jelentős kihívást jelenthetnek a kibervédelem számára, mivel az áldozati szereplők tevékenységei álcaként szolgálnak az elkövetők számára.