Nhóm tin tặc liên hệ với Nga đã xâm nhập hơn 170 hộp thư của công tố viên và điều tra viên khắp Ukraine trong vài tháng gần đây, đồng thời tấn công mục tiêu ở Romania, Bulgaria, Hy Lạp và Serbia. Dữ liệu vận hành cùng hàng nghìn email bị đánh cắp bị để lộ công khai do lỗi của chính tin tặc và được nhóm nghiên cứu an ninh mạng Ctrl-Alt-Intel (Ctrl-Alt-Intel) phát hiện, cho thấy ít nhất 284 hộp thư bị chiếm quyền từ 9/2024 đến 3/2026. Ctrl-Alt-Intel nhận định đây là “sai lầm vận hành lớn”, khi những kẻ tấn công “để cửa trước mở toang”, tạo cơ hội hiếm hoi mổ xẻ chiến dịch do thám.

Ngoài Ukraine, các nước láng giềng thuộc NATO cũng bị nhắm mục tiêu. Tại Romania, ít nhất 67 hộp thư của Không quân Romania (Forțele Aeriene Române) bị xâm nhập, gồm một số địa chỉ thuộc các căn cứ không quân của NATO và tối thiểu một sĩ quan cấp cao; Bộ Quốc phòng Romania không phản hồi. Trước đó, Bộ Tư pháp Hoa Kỳ (U.S. Department of Justice) và Cục Điều tra Liên bang (FBI) phối hợp với nhiều cơ quan tại 15 quốc gia, trong đó có Cơ quan Tình báo Romania (Serviciul Român de Informații), thông báo triệt phá một chiến dịch xâm nhập kéo dài vào hạ tầng nhạy cảm; Tổng cục Tình báo Quân đội Nga (GRU) bị cáo buộc nhắm vào hạ tầng trọng yếu và thông tin quân sự, chính phủ. Nicușor Dan kêu gọi Romania tăng cường an ninh mạng và hợp tác với đối tác phương Tây.

Tại Hy Lạp, tin tặc chiếm quyền 27 hộp thư do Bộ Tổng tham mưu Quốc phòng Hy Lạp (Statul Major General al Apărării Naționale Elene) quản lý, bao gồm thư của các tùy viên quân sự tại Ấn Độ và Bosnia, cùng hòm thư phục vụ công chúng của Trung tâm Sức khỏe Tâm thần của Lực lượng Vũ trang Liên quân Hy Lạp (Centrul de Sănătate Mentală al Forțelor Armate Comune din Grecia). Ở Bulgaria, ít nhất bốn hòm thư của quan chức địa phương tại tỉnh Plovdiv bị xâm nhập, nơi từng nghi ngờ có can thiệp của Nga vô hiệu hóa định vị vệ tinh trước chuyến thăm của Chủ tịch Ủy ban châu Âu Ursula von der Leyen. Tại Serbia, tài khoản của một số học giả và quan chức quân sự cũng bị đánh cắp; Bộ Quốc phòng Serbia không bình luận. Keir Giles của Viện nghiên cứu Chatham House (Chatham House) nhận xét quan hệ gần gũi với Moskva không bảo đảm miễn nhiễm trước do thám Nga.

Ctrl-Alt-Intel quy chiến dịch cho nhóm “Fancy Bear”, bí danh gắn với một đơn vị tin tặc quân sự Nga. Hai nhà nghiên cứu độc lập, Matthieu Faou từ công ty an ninh mạng ESET (ESET) và Feike Hacquebord từ công ty an ninh mạng TrendAI (TrendAI), đồng thuận về mối liên hệ với Moskva nhưng bất đồng về vai trò của Fancy Bear. Theo thông báo gần đây của U.S. Department of Justice và FBI, ít nhất từ năm 2024, Trung tâm Dịch vụ Đặc biệt số 85 của GRU (85 GTsSS) — còn được biết đến là APT28, Fancy Bear và Forest Blizzard — đã thu thập thông tin xác thực và khai thác các router dễ bị tổn thương trên toàn cầu, bao gồm router TP-Link qua lỗ hổng CVE-2023-50224.

Theo Keir Giles, mục tiêu xâm nhập vào cơ quan thực thi pháp luật Ukraine có thể nhằm đi trước các điều tra viên truy tìm gián điệp của Moskva hoặc thu thập thông tin bất lợi về quan chức cấp cao ở Kyiv. Dữ liệu cho thấy các hộp thư của Viện Công tố chuyên trách lĩnh vực quốc phòng (Parchetul Specializat în Domeniul Apărării), cơ quan thời chiến được lập để chống tham nhũng và lật tẩy gián điệp trong quân đội Ukraine, bị xâm nhập; cùng với Cơ quan Thu hồi và Quản lý Tài sản Ukraine (ARMA) và Trung tâm Đào tạo Công tố viên Kyiv (Centrul de Formare a Procurorilor).

Nạn nhân bao gồm Yaroslava Maksymenko, khi đó là người đứng đầu ARMA. Tại Trung tâm Đào tạo Công tố viên, 44 nhân viên bị truy cập trái phép, trong đó có phó giám đốc Oleg Duka. Tin tặc cũng được cho là đã đánh cắp dữ liệu của ít nhất một cán bộ cấp cao thuộc Viện Công tố Chuyên trách Chống tham nhũng (SAPO), cơ quan xử lý các vụ án tham nhũng nổi bật, gồm một vụ dẫn tới việc Andrii Iermak từ chức vào tháng 11. Đội Ứng cứu Khẩn cấp Máy tính Ukraine (Echipa de intervenție în caz de urgențe informatice din Ucraina) cho biết đã nắm được vụ việc và điều tra một số mục tiêu bị xâm phạm.