Được cho là do nhóm gián điệp mạng Midnight Blizzard (hay còn được gọi là APT29, Cozy Bear, the Dukes và Yttrium) thực hiện, các cuộc tấn công này tập trung vào việc thu thập thông tin xác thực và tình báo. Các tin tặc đã xâm phạm các trang web hợp pháp và chèn mã JavaScript để chuyển hướng người truy cập đến các tên miền độc hại, chẳng hạn như findcloudflare[.]com, mạo danh trang xác minh Cloudflare.

Khi bị chuyển hướng đến các tên miền như vậy, nạn nhân được yêu cầu đăng nhập vào tài khoản Microsoft của mình, đồng thời ủy quyền cho các thiết bị do kẻ tấn công kiểm soát thông qua luồng xác thực thiết bị của Microsoft.

Theo ông Moses, Giám đốc An ninh thông tin của Amazon, chỉ có khoảng 10% lượng khách truy cập vào trang web bị xâm phạm được chuyển hướng đến các tên miền độc hại. Ông lưu ý: “Cách tiếp cận cơ hội này cho thấy sự phát triển liên tục của các tin tặc Midnight Blizzard trong việc mở rộng phạm vi hoạt động trong mạng lưới thu thập thông tin tình báo”.

Trong các cuộc tấn công, các tin tặc dựa vào tính ngẫu nhiên để chỉ chuyển hướng một tỷ lệ nhỏ khách truy cập, ẩn mã độc bằng cách sử dụng mã hóa base64 và thiết lập cookie, điều này để ngăn chặn việc chuyển hướng nhiều lần của cùng một nạn nhân.

Amazon cho biết, khi bị chặn, những kẻ tấn công sẽ nhanh chóng thiết lập cơ sở hạ tầng mới, bao gồm việc chuyển sang nhà cung cấp đám mây mới và đăng ký tên miền cloudflare[.]redirectpartners[.]com. Moses chỉ ra rằng: “Không có sự thỏa hiệp nào đối với các hệ thống Amazon Web Services (AWS), cũng không có tác động trực tiếp nào được quan sát thấy đối với các dịch vụ hoặc cơ sở hạ tầng của AWS”.

Năm ngoái, Midnight Blizzard đã mạo danh nhân viên AWS và Microsoft để gửi các tệp cấu hình RDP cho người dùng không hề hay biết. Vào tháng 6/2025, Google đã cảnh báo về các cuộc tấn công APT nhắm vào tính năng “app-specific password” (mật khẩu dành riêng cho ứng dụng) để đánh lừa người dùng Gmail cung cấp quyền truy cập không cần xác thực đa yếu tố (MFA) vào tài khoản của họ.