Em outubro de 2024, a Microsoft identificou uma campanha de spear-phishing realizada pelo grupo Seashell Blizzard, patrocinado pelo Estado russo, visando o sector de energia europeu, usando a Conferência Anual de Infraestrutura de Gás da Europa como isca. O objetivo era capturar credenciais através de capturas NTLM e estabelecer persistência nos sistemas.

Seashell Blizzard usou e-mails falsificados, supostamente enviados por organizadores da conferência, contendo anexos PDF maliciosos e links para URLs perigosos. Esses e-mails, enviados entre 7 e 14 de outubro, redirecionavam para infraestrutura controlada pelo grupo, onde uma cadeia de infecção multi-camada era iniciada, envolvendo arquivos LNK maliciosos e scripts que baixavam malwares e tentavam capturar credenciais NTLM.

A cadeia de ataque começa com um arquivo LNK, disfarçado de PDF, que aciona um script HTA, seguido de um downloader PowerShell que carrega malware em memória. Em seguida, são instalados backdoors e persistência é garantida modificando o registro do sistema, com comunicação estabelecida com servidores C2.

Essa actividade é consistente com as operações anteriores do Seashell Blizzard, que desde 2022 realiza ataques recorrentes contra o setor energético europeu e ucraniano. O grupo, associado à inteligência militar russa, tem histórico de operações globais e uso de ferramentas públicas e personalizadas, destacando-se em sabotagens e espionagem em apoio a objetivos geopolíticos.