En mai 2017, l’unité 42 de Palo Alto Networks a identifié une campagne d’hameçonnage limitée baptisée FreeMilk qui a visé différents individus et entités à travers le monde. L’acteur de la menace a exploité la vulnérabilité d’exécution de code à distance CTP-2017-0199 Microsoft Word Office / WordPad avec un contenu soigneusement conçu pour chaque destinataire cible.

Les chercheurs de Palto Alto ont expliqué que leur analyse a révélé que les courriels utilisés pendant la campagne portaient sur de multiples comptes de messagerie compromis liés à un domaine légitime en Asie du Nord-Est. « Nous croyons que l’acteur de la menace a détourné une conversation en cours existante et légitime et s’est posé par la suite comme l’expéditeur légitime afin d’envoyer des courriels malveillants de phishing aux destinataires. »

En clair, les chercheurs ont fait valoir que des hackers ont été en mesure d’intercepter des conversations légitimes par courrier électronique entre les individus et les ont détournées. L’objectif était de diffuser des logiciels malveillants vers les réseaux d’entreprise en utilisant des messages de phishing hautement personnalisés conçus pour ressembler à des communications avec l’interlocuteur d’origine.