گروه تهدید کره شمالی کونی (Opal Sleet, TA406) که توسط دولت حمایت می‌شود، در حال هدف قرار دادن نهادهای دولتی اوکراین برای عملیات جمع‌آوری اطلاعات مشاهده شده است. مهاجمان از ایمیل‌های فیشینگ استفاده می‌کنند که خود را به عنوان اندیشکده‌ها جا می‌زنند و به رویدادهای سیاسی مهم یا تحولات نظامی اشاره می‌کنند تا اهداف خود را فریب دهند. محققان Proofpoint معتقدند این فعالیت احتمالاً برای حمایت از مشارکت نظامی کره شمالی در کنار روسیه در اوکراین و ارزیابی وضعیت سیاسی درگیری انجام می‌شود.

زنجیره حمله شامل ایمیل‌های مخرب است که اعضای اندیشکده‌های ساختگی را جعل می‌کند و از سرویس‌های ایمیل رایگان مانند Gmail و ProtonMail استفاده می‌کند. کلیک روی لینک‌ها قربانیان را به دانلود فایل‌های RAR محافظت شده با رمز عبور هدایت می‌کند که حاوی فایل‌های CHM هستند. باز کردن این فایل‌ها PowerShell تعبیه شده را فعال می‌کند که اطلاعات شناسایی را جمع‌آوری کرده و پایداری در سیستم ایجاد می‌کند. کونی همچنین حملات آماده‌سازی قبلی را برای سرقت اعتبارنامه‌های حساب‌ها با جعل هشدارهای امنیتی مایکروسافت انجام داده است.