В последние годы о Cozy Bear почти ничего не было слышно, кроме разового инцидента в ноябре 2018 года, связанного с фишинговой кампанией, нацеленной на несколько американских организаций. Из-за этого ИБ-эксперты полагали, что группировка, возможно, прекратила свое существование, но теперь специалисты ESET обнаружили, что это не так.
Русскоязычная хак-группа Cozy Bear была очень активна с 2014 по 2017 годы. В то время хакеров обвиняли во взломе Национального комитета Демократической партии США в преддверии выборов 2016 года, а также в многочисленных атаках различные на правительственные ведомства в Европе и за ее пределами. По мнению ИБ-экспертов, данная группа якобы работает с ФСБ и также была причастна к атакам на почтовую систему Белого дома США, Министерство иностранных дел США и Объединенный комитет начальников штабов.
И теперь исследователи выявили сразу три новых семейства малвари, созданных Cozy Bear: PolyglotDuke, RegDuke и FatDuke, а также ранее задокументированный бэкдор MiniDuke, который был обновлен. Эти инструменты использовались злоумышленниками до самого недавнего времени, а последний был развернут в июне 2019 года. Совокупность этих действий хак-группы исследователи назвали «Операция призрак» (Operation Ghost).
Эксперты ESET полагают, что «Операция призрак» началась еще в 2013 году и продолжается до сих пор. За это время группировка атаковала как минимум три европейских министерства иностранных дел, а также американские посольство неназванной страны ЕС в Вашингтоне.
