De Amerikaanse autoriteiten hebben de domeinnamen in beslag genomen die recentelijk bij een grootschalige aanval gericht tegen overheden en ngo's werden gebruikt. Volgens Microsoft is de aanval uitgevoerd door dezelfde groep die voor de SolarWinds-aanval van vorig jaar verantwoordelijk is.

Bij de recente phishingaanval wisten aanvallers toegang te krijgen tot het Constant Contact-account van USAID, de ontwikkelingsorganisatie van de Amerikaanse overheid. Constant Contact is een dienst die voor e-mailmarketing wordt gebruikt. Via het gecompromitteerde account verstuurden de aanvallers vervolgens phishingmails die van USAID afkomstig leken.

De e-mails bevatten een legitieme Constant Contact-link die weer wijst naar een kwaadaardig ISO-bestand. Dit ISO-bestand bevat zowel malware als een PDF-document dat als afleidingsmanoeuvre dient. De FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security stelden dat bij de recente campagne meer dan 7.000 accounts van meer dan 350 overheidsorganisaties en ngo's zijn aangevallen.

Het Amerikaanse ministerie van Justitie wist een gerechtelijk bevel te krijgen waarmee het twee domeinnamen in beslag kon nemen die bij de phishingaanval werden gebruikt. Via de domeinen werden besmette computers aangestuurd en de gebruikte malware aangeboden.