Eine der Vorgehensweisen bei gezielten Angriffe auf IT-Systeme besteht darin, zu versuchen die Login-Daten sowie weitere entscheidende Informationen von relevanten Personen zu erlauschen oder diese dazu zu bewegen, sie unwissend in gefälschte Formulare einzutragen. Im IT-Sicherheitskontext werden diese maßgeschneiderten Angriffe als „Spear-Phishing“ bezeichnet und bestehen oft darin, den Zielen E-Mails oder Word-Dokumente zu senden, die fachlich spezifisch oder inhaltlich spezifiisch auf den Hintergrund der Zielperson zugeschnitten sind um ihn so zu veranlassen Links auf infizierte oder gefälschte Webseites oder mit Malware versehene Dateien zu öffnen.
Zu einem solchen Vorfall gibt es exemplarisch eine ausführliche Analyse (lokale Kopie) von Cisco Talos mit einer gefälschten Einladung zu einer Cyber Conflict-Konferenz (CyCon U.S.), die den Autoren zufolge der russischen Hackergruppe APT 28 zugeschrieben wird. Die Analyse bietet ein detailierte und anschaulichen Darstellung wie solche Dokumente beispielhaft mit Schadsoftware versehen und auf diese Weise für gezielte Angriffe auf einzelne, ausgewählte Personen genutzt werden. Aus den Schlußfolgerungen der Analysten:
Analysis of this campaign shows us once more that attackers are creative and use the news to compromise the targets. This campaign has most likely been created to allow the targeting of people linked to or interested by cybersecurity, so probably the people who are more sensitive to cybersecurity threats. In this case, Group 74 did not use an exploit or any 0-day but simply used scripting language embedded within the Microsoft Office document. Due to this change, the fundamental compromise mechanism is different as the payload is executed in a standalone mode. The reasons for this are unknown, but, we could suggest that they did not want to utilize any exploits to ensure they remained viable for any other operations. Actors will often not use exploits due to the fact that researchers can find and eventually patch these which renders the actors weaponized platforms defunct. Additionally the author did some small updates after publications from the security community, again this is common for actors of this sophisticated nature, once their campaigns have been exposed they will often try to change tooling to ensure better avoidance.