Statelijke actoren hebben bij verschillende spionagecampagnes gebruikgemaakt van phishingaanvallen, waarbij slachtoffers via social engineering worden verleid om malafide PowerShell-commando's op hun eigen systeem uit te voeren. Dat meldt securitybedrijf Proofpoint. Via de commando's wordt malware op het systeem geïnstalleerd. Cybercriminelen gebruiken de tactiek al enige tijd, maar nu wordt die ook door statelijke actoren ingezet, aldus de onderzoekers.

Doelwitten ontvangen berichten of documenten die uiteindelijk naar een website leiden. Op deze website verschijnt een zogenaamde foutmelding of instructies om het zogenaamde probleem te verhelpen. Slachtoffers denken dat ze bijvoorbeeld een registratiecode kopiëren of een kwetsbaarheid verhelpen, maar in werkelijkheid start men PowerShell en voert een malafide commando uit waarmee malware wordt geïnstalleerd.

De onderzoekers stellen dat net als bij andere criminele technieken statelijke actoren die uiteindelijk overnemen, waarbij ze zich ook als criminele groepen voordoen. Op dit moment stelt Proofpoint dat een beperkt aantal statelijke actoren er gebruik van maakt, maar het securitybedrijf verwacht dat het toepassen van PowerShell-commando's voor cyberspionage in de toekomst zal toenemen.