根据卡巴斯基全球研究和分析团队的一份报告，威胁参与者发起了一场新的鱼叉式网络钓鱼活动，他们在活动中安装了基于PowerShell的PowerMagic后门和CommonMagic框架。攻击者发送包含导致后门安装的恶意文档的网络钓鱼电子邮件。该活动的主要目标位于乌克兰的克里米亚、顿涅茨克和卢甘斯克地区，这些地区于2014年被俄罗斯吞并。

这些电子邮件是围绕俄乌冲突设计的，表明攻击者可能对地区地缘政治局势有特定兴趣。

卡巴斯基研究员Leonid Besverzhenko表示，该活动主要是针对行政、农业和交通组织窃取敏感数据的间谍活动。

网络钓鱼电子邮件包含一个URL，该URL将受害者定向到一个ZIP存档，其中包含一个伪装成PDF的恶意LNK文件。当受害者启动该文件时，他们的网络就会被渗透，PowerMagic使用OneDrive和Dropbox文件夹与其C2服务器建立连接，通过CommonMagic触发感染，这是一个以前未被发现的“恶意框架”。

CommonMagic框架包括用于不同任务的独立模块，例如加密/解密、屏幕截图捕获和文件窃取。它还可以使用插件从USB设备窃取各种文件，包括DOC、DOCX、XLS、XLSX、RTF、ODT、ODS、ZIP、RAR、TXT和PDF。

此外，它还可以通过滥用Windows图形设备接口(GDI)API每三秒截取一次屏幕截图。这两种恶意软件自2021年9月以来一直在活跃使用，卡巴斯基在10月发现了该活动。

但是，研究人员尚未能够将此活动与先前已知的演员联系起来。他们确实相信高级威胁演员是这场运动的幕后黑手。