乌克兰军事实体是一个网络钓鱼活动的目标，该活动利用无人机手册作为诱饵，提供一个基于Go的开源开发后工具包，称为Merlin。

“由于无人机或无人机（UAV）一直是乌克兰军方使用的一个不可或缺的工具，以无人机服务手册为主题的恶意软件诱饵文件已经开始浮出水面，”Securonix研究人员Den Iuzvyk，Tim Peck和Oleg Kolesnikov在与黑客新闻分享的一份报告中说。

这家网络安全公司正在以STARK#VORTEX的名义追踪这场运动。

攻击的起点是Microsoft Compiled HTML Help（CHM）文件，当打开该文件时，它会运行嵌入在其中一个HTML页面中的恶意JavaScript，以执行PowerShell代码，该代码旨在联系远程服务器以获取模糊处理的二进制文件。

基于Windows的有效载荷被解码以提取Merlin Agent，而Merlin Agent又被配置为与命令和控制（C2）服务器通信以进行后利用操作，从而有效地获取对主机的控制。

“虽然攻击链相当简单，但攻击者利用了一些相当复杂的TTPs和混淆方法来逃避检测，”研究人员说。

这是乌克兰政府组织第一次被“灰背隼”。在2023年8月初，乌克兰计算机应急响应小组（CERT-Under Armour）披露了一个类似的攻击链，使用CHM文件作为诱饵来感染使用开源工具的计算机。

cert-under armour公司将入侵归因于其监测的名为uac-0154的威胁行为者。

“攻击链中使用的文件和文档非常有能力绕过防御，”研究人员解释说。

“通常情况下，通过互联网接收Microsoft帮助文件会被认为是不寻常的。然而，攻击者将诱骗文档设计成不知情的受害者可能期望出现在帮助主题文档或文件中的内容。”

几周前，装甲计算机应急响应小组（CERT-Under Armour）表示，它检测到俄罗斯国家资助的名为APT28的团队对该国一个未命名的关键能源基础设施发动了一次不成功的网络攻击。