Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA на початку лютого 2025 року зафіксувала цільову кіберактивність, спрямовану на шпигунство проти українських інституцій, залучених до розвитку інновацій у військовій сфері. Ця активність спостерігається і досі. 

Під прицілом кіберзловмисників також перебувають військові формування, правоохоронні органи та органи місцевого самоврядування, зокрема ті, що розташовані поблизу східного кордону України.

Атаки здійснюються шляхом розповсюдження електронних листів із Excel документами. У назвах файлів і темах листів згадуються актуальні та чутливі питання — розмінування, адміністративні штрафи, виробництво БПЛА, компенсації за зруйноване майно тощо. 

У таблицях захований шкідливий код, який під час відкриття документа та виконання макросу автоматично перетворюється на зловмисну програму й запускається без відома користувача.

Описана шкідлива активність відстежується CERT-UA за ідентифікатором UAC-0226.

Варто зазначити, що листи надсилаються зі скомпрометованих облікових записів — зокрема через вебінтерфейс поштових клієнтів. Команда CERT-UA закликає системних адміністраторів перевірити наявність і повноту журналів подій поштових і вебсерверів.