Tunnettu venäläinen hakkeriryhmä Fighting Ursa tunnetaan myös nimillä APT28, Fancy Bear ja Sofacy. Hakkeriryhmän katsotaan olevan sidoksissa Venäjän tiedustelupalveluun. Se käyttää luovia menetelmiä kohdistaakseen ja tartuttaakseen kriittisiä lähteitä haitallisilla haittaohjelmilla joko vahingoittaakseen vastaanottajaa tai seuratakseen heidän tekemisiään.

Nämä tiedot käyvät ilmi tietoturvayhtiö Palo Alto Networksin turvallisuusyksikkö Unit 42:n uusista tutkimuksista ryhmän toimista. Unit 42 on kartoittanut, miten Fighting Ursa on käyttänyt Audi-autojen mainoksia houkutellakseen ihmisiä klikkaamaan haitallista linkkiä ja siten saamaan tartunnan. Kohteena on erityisesti ollut diplomaatteja.

Hyökkäysmenetelmä on ollut käytössä maaliskuusta 2024 lähtien. Hyökkäys käynnistyy napsauttamalla tartunnan saanutta hyperlinkkiä, joka näyttää aluksi vaarattomalta, mutta käynnistää automaattisesti haittaohjelman hyökkäyksen.

- Ryhmä tunnetaan siitä, että se käyttää laillisia palveluita haittaohjelmiensa toimittamiseen. Se vaikeuttaa niiden havaitsemista niin käyttäjän kuin tietoturvatiimin näkökulmasta. Ryhmä myös minimoi näkyvyytensä, jolloin se parantaa onnistumismahdollisuuksia. Ryhmä myös parantaa huijausten uskottavuutta väärennettyjen mainosten kautta, kommentoi Palo Alto Networksin Pohjois-Euroopan tietoturvajohtaja Jesper Olsen.

Vuonna 2023 vastaavanlainen venäläisryhmä käytti samaa menetelmää, mutta tuolloin BMW-autojen kanssa ja kohteena olivat diplomaatit Ukrainassa. Toisella ryhmällä, nimeltään Cloaked Ursa, ei ole mitään tekemistä Fighting Ursan kanssa, mutta venäläisten ryhmittymien tiedetään käyttävän toistensa menetelmiä, jos ne osoittautuvat onnistuneiksi.