چندین گروه تهدید مرتبط با روسیه از اوایل مارس ۲۰۲۵ به طور تهاجمی افراد و سازمان‌های مرتبط با اوکراین و حقوق بشر را هدف قرار داده‌اند تا دسترسی غیرمجاز به حساب‌های Microsoft 365 کسب کنند. این عملیات‌های مهندسی اجتماعی بسیار هدفمند، تغییری از حملات قبلی است که از تکنیک device code phishing استفاده می‌کردند، نشان‌دهنده تصفیه فعال روش‌های مهاجمان روسی است. دو خوشه تهدید UTA0352 و UTA0355 مسئول این حملات ارزیابی شده‌اند، اگرچه احتمال ارتباط آنها با APT29، UTA0304 و UTA0307 نیز منتفی نیست.

این حملات جدید از تکنیکی استفاده می‌کنند که جریان‌های احراز هویت مشروع Microsoft OAuth 2.0 را سوءاستفاده می‌کند. مهاجمان خود را مقامات کشورهای اروپایی جا می‌زنند و از طریق اپلیکیشن‌های پیام‌رسان Signal و WhatsApp با اهداف تماس گرفته، آنها را برای پیوستن به جلسات ویدئویی یا ثبت‌نام در ملاقات‌های خصوصی دعوت می‌کنند. پس از کلیک روی لینک‌های میزبانی‌شده در زیرساخت Microsoft 365، قربانیان به صفحه ورود رسمی Microsoft هدایت شده و کد OAuth تولیدشده را با مهاجمان به اشتراک می‌گذارند، که این امر دسترسی کامل به حساب‌های M365 آنها را فراهم می‌کند.