O grupo APT29, associado ao serviço de inteligência russo SVR, conduziu uma campanha sofisticada de ataque direcionada ao fluxo de autenticação de dispositivos da Microsoft. A ofensiva consistia na manipulação de sites legítimos, técnica conhecida como watering hole, para redirecionar usuários a páginas falsas que simulavam a interface de login da Microsoft.
Essas páginas maliciosas foram projetadas para capturar códigos de autenticação utilizados em dispositivos confiáveis, permitindo que os invasores se conectassem a contas legítimas. O ataque visava enganar usuários para que, sem perceber, autorizassem acessos indevidos por meio de dispositivos controlados pelos criminosos. A campanha foi detectada por especialistas em segurança que identificaram padrões incomuns de redirecionamento. Cerca de 10% dos visitantes de sites comprometidos eram direcionados para domínios falsos cuidadosamente preparados para imitar o ambiente oficial da Microsoft. A Amazon, por meio de seus serviços de segurança em nuvem, atuou diretamente para interromper o ataque.
Instâncias utilizadas pela operação foram isoladas, e os domínios maliciosos foram bloqueados em colaboração com Microsoft e Cloudflare. O APT29 utilizou diversos recursos para dificultar a detecção, incluindo JavaScript ofuscado, cookies para evitar múltiplos redirecionamentos e mudanças rápidas de infraestrutura após bloqueios. A tentativa de continuar a operação usando domínios semelhantes em outros provedores também foi contida. Essa não é a primeira vez que o grupo emprega táticas avançadas para comprometer autenticações. Em campanhas anteriores, o APT29 já havia explorado arquivos de acesso remoto e campanhas de phishing dirigidas a ambientes corporativos e governamentais.
