Sofacy lần đầu bị phát hiện vào năm 2008 (được biết với những cái tên “Fancy Bear”, “Sednit”, “STRONTIUM” và “APT28”) là một tập hợp các tin tặc nguy hiểm có xuất xứ từ Nga.

Thống kê theo dõi nhóm Sofacy của Kaspersky.

Trong quá trình theo dõi, các chuyên gia của Kaspersky phát hiện về backdoor của nhóm APT28 như SPLM, CHOPSTICK và X-Agent cho thấy tin tặc đã gia tăng mục tiêu nhắm vào các nước Xô Viết cũ ở Trung Á, trong đó có các công ty viễn thông và tổ chức liên quan đến quốc phòng. Những chiến dịch của nhóm nhắm đến những nước như Thổ Nhĩ Kỳ, Kazakhstan, Armenia, Kyrgyzstan, Jordan và Uzbekistan.

Chúng tung ra rất nhiều chiến dịch phát tán backdoor SPLM và công cụ lây nhiễm Zebrocy, một loại mã độc cho phép tin tặc thu thập dữ liệu từ máy tính nạn nhân, được dùng để nhắm nhiều loại mục tiêu khác nhau. Sẽ là rất khó để phát hiện ra và ngăn chặn chúng. 

Các chuyên gia bảo mật cho rằng, nhóm gián điệp Sofacy quá chuyên nghiệp và rất cẩn thận khi tiến hành hoạt động của mình. Chúng duy trì các phân khu riêng biệt cho mỗi công cụ chính của nó, với các nhóm để mã hóa, phát triển và nhắm mục tiêu của SPLM (còn gọi là CHOPSTICK và Xagent), GAMEFISH và Zebrocy. SPLM được coi là công cụ giai đoạn thứ hai chủ yếu và được chọn lọc nhất của Sofacy, trong khi Zebrocy được sử dụng cho các cuộc tấn công khối lượng lớn.

B.C.