Skip to main content
Radar
DashboardThreatsMapFeedsAPI
reconnecting

NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine

High
Campaigntlp:whitemisp-galaxy:microsoft-activity-group="nobelium"misp-galaxy:mitre-intrusion-set="apt29 - g0016"misp-galaxy:mitre-intrusion-set="unc2452 - g0118"misp-galaxy:threat-actor="unc2452"misp-galaxy:mitre-attack-pattern="native api - t1106"misp-galaxy:mitre-attack-pattern="drive-by compromise - t1189"misp-galaxy:mitre-attack-pattern="trusted relationship - t1199"misp-galaxy:mitre-attack-pattern="obfuscated files or information - t1406"misp-galaxy:mitre-attack-pattern="obfuscated files or information - t1027"misp-galaxy:mitre-attack-pattern="web service - t1102"misp-galaxy:mitre-attack-pattern="user execution - t1204"misp-galaxy:mitre-attack-pattern="boot or logon autostart execution - t1547"misp-galaxy:mitre-attack-pattern="phishing - t1566"misp-galaxy:mitre-attack-pattern="compromise infrastructure - t1584"misp-galaxy:mitre-attack-pattern="web services - t1584.006"misp-galaxy:mitre-attack-pattern="spearphishing link - t1192"misp-galaxy:mitre-attack-pattern="spearphishing link - t1566.002"misp-galaxy:mitre-attack-pattern="malicious file - t1204.002"misp-galaxy:mitre-attack-pattern="registry run keys / startup folder - t1547.001"misp-galaxy:mitre-attack-pattern="registry run keys / startup folder - t1060"misp-galaxy:mitre-attack-pattern="html smuggling - t1027.006"misp-galaxy:mitre-attack-pattern="bidirectional communication - t1102.002"type:osintosint:lifetime="perpetual"osint:certainty="50"tlp:clearmisp-galaxy:region="150 - europe"
Published: Tue Mar 14 2023 (03/14/2023, 00:00:00 UTC)
Source: CIRCL
Vendor/Project: tlp
Product: white

Description

NOBELIUM Uses Poland's Ambassador’s Visit to the U.S. to Target EU Governments Assisting Ukraine

AI-Powered Analysis

AILast updated: 06/18/2025, 07:19:33 UTC

Technical Analysis

The threat campaign attributed to the advanced persistent threat (APT) group known as NOBELIUM (also tracked as UNC2452 and APT29) leverages a geopolitical event—Poland's Ambassador’s visit to the United States—to target European Union governments that are providing assistance to Ukraine. This campaign is characterized by sophisticated spearphishing techniques, including spearphishing links and malicious file attachments delivered via HTML smuggling and obfuscated payloads to evade detection. The attackers exploit trusted relationships and use native APIs to execute code, enabling persistence through mechanisms such as registry run keys and autostart execution. The campaign employs drive-by compromises and web services for command and control, facilitating bidirectional communication with compromised systems. The use of obfuscation techniques and infrastructure compromise further complicates detection and mitigation efforts. The attack chain requires user execution, typically through social engineering, and targets high-value government entities involved in geopolitical support activities. Although no specific software vulnerabilities or affected product versions are listed, the campaign's reliance on social engineering and trusted relationships indicates a focus on human factors and supply chain attack vectors rather than direct exploitation of software flaws. The campaign is ongoing as of the publication date in March 2023, with no patches available, underscoring the need for heightened vigilance and tailored defensive measures.

Potential Impact

For European organizations, particularly governmental bodies and agencies involved in supporting Ukraine, this campaign poses a significant risk to confidentiality, integrity, and availability of sensitive information. Successful compromise could lead to unauthorized access to classified communications, disruption of governmental operations, and potential manipulation or theft of critical data. The targeting of trusted relationships and infrastructure compromise increases the risk of widespread lateral movement within networks, potentially affecting multiple agencies and partners. The campaign's sophisticated obfuscation and persistence techniques make detection challenging, increasing dwell time and the likelihood of extensive data exfiltration. Additionally, the geopolitical context heightens the risk of espionage and influence operations, which could undermine national security and diplomatic efforts. The impact extends beyond immediate victims, as compromised systems could be used to launch further attacks or disinformation campaigns within Europe.

Mitigation Recommendations

Mitigation should focus on a multi-layered defense strategy tailored to the campaign's tactics. First, enhance spearphishing defenses by implementing advanced email filtering that detects and blocks spearphishing links and HTML smuggling techniques. Employ user training programs emphasizing recognition of sophisticated social engineering tactics, especially around geopolitical events. Deploy endpoint detection and response (EDR) solutions capable of identifying native API misuse, registry run key modifications, and autostart execution patterns indicative of persistence mechanisms. Conduct regular audits of trusted third-party relationships and monitor for anomalous activity within supply chains. Implement network segmentation to limit lateral movement and restrict bidirectional communication channels to only necessary services. Use threat intelligence feeds to update detection rules with indicators of compromise related to NOBELIUM. Finally, establish incident response playbooks specific to APT29 tactics and conduct regular tabletop exercises simulating similar attack scenarios to improve organizational readiness.

Affected Countries

PolandPoland
GermanyGermany
FranceFrance
BelgiumBelgium
NetherlandsNetherlands
SwedenSweden
FinlandFinland
EstoniaEstonia
LithuaniaLithuania
LatviaLatvia
Need more detailed analysis?Get Pro

Technical Details

Threat Level
1
Analysis
0
Uuid
dfd47825-5536-4360-833f-b72868ce8a2a
Original Timestamp
1679483329

Indicators of Compromise

Hash

ValueDescriptionCopy
hashe957326b2167fa7ccd508cbf531779a28bfce75eb2635ab81826a522979aeb98
hashdffaefaabbcf6da029f927e67e38c0d1e6271bf998040cfd6d8c50a4eff639df
hashdbb39c2f143265ad86946d1c016226b0e01614af35a2c666afa44ac43b76b276
hashc1ebaee855b5d9b67657f45d6d764f3c1e46c1fa6214329a3b51d14eba336256
hash505f1e5aed542e8bfdb0052bbe8d3a2a9b08fc66ae49efbc9d9188a44c3870ed
hash4d92a4cecb62d237647a20d2cdfd944d5a29c1a14b274d729e9c8ccca1f0b68b
hash3a489ef91058620951cb185ec548b67f2b8d047e6fdb7638645ec092fc89a835
hash21a0b617431850a9ea2698515c277cbd95de4e59c493d0d8f194f3808eb16354
hash8eb64670c10505322d45f6114bc9f7de0826e3a1
hash3fd43de3c9f7609c52da71c1fc4c01ce0b5ac74c
hash2a0478a22d27f7af98786e873b6c85c4ae2e3b2e
hashe693777a3a85583a1bbbd569415be09c
hashe0cb8157e6791390463714b38158195a
hashcf36bf564fbb7d5ec4cec9b0f185f6c9
hash8d5c0f69c1caa29f8990fbc440ab3388
hash89f716d32461880cd0359ffbb902f06e
hash82ecb8474efe5fedcb8f57b8aafa93d2
hash67a6774fbc01eb838db364d4aa946a98
hash38b05aa4b5ba651ba95f7173c5145270

Url

ValueDescriptionCopy
urlhttps://literaturaelsalvador.com/Instructions.html
urlhttps://literaturaelsalvador.com/Schedule.html

Link

ValueDescriptionCopy
linkhttps://blogs.blackberry.com/en/2023/03/nobelium-targets-eu-governments-assisting-ukraine
linkhttps://otx.alienvault.com/pulse/64160883fe275bce4bb6b07f
linkhttps://otx.alienvault.com/indicator/yara/f7959f465becdc25d20f452cbd5d5759ea4a702e

Text

ValueDescriptionCopy
textNOBELIUM, aka APT29, is a sophisticated, Russian state-sponsored threat actor targeting Western countries. At the beginning of March, BlackBerry researchers observed a new campaign targeting European Union countries; specifically, its diplomatic entities and systems transmitting sensitive information about the region's politics, aiding Ukrainian citizens fleeing the country, and providing help to the government of Ukraine.
textBlog
textNOBELIUM_SpyDLL_March2023

Comment

ValueDescriptionCopy
commentYara rule based on code NOBELIUM_SpyDLL_March2023

Yara

ValueDescriptionCopy
yararule NOBELIUM_SpyDLL_March2023 { meta: copyright = "BlackBerry" description = "Yara rule based on code NOBELIUM_SpyDLL_March2023" author = "BlackBerry Threat Intelligence Team" date = "2023-03-07" sha256 = "e957326b2167fa7ccd508cbf531779a28bfce75eb2635ab81826a522979aeb98" sha256 = "4d92a4cecb62d237647a20d2cdfd944d5a29c1a14b274d729e9c8ccca1f0b68b" sha256 = "3a489ef91058620951cb185ec548b67f2b8d047e6fdb7638645ec092fc89a835" strings: $1807379073_247 = { 8B ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? ?? ?? F7 ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 10 ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 8B ?? ?? ?? 89 ?? 49 ?? ?? 89 ?? 49 ?? ?? 49 ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? 4C ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 0F 11 ?? ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 9? 0F 10 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 5? 5? 5? 5? 41 ?? 41 ?? 41 ?? C3 } $1807233630_154 = { 48 ?? ?? ?? ?? ?? ?? 49 ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 49 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 49 ?? ?? 41 ?? ?? 4C ?? ?? 4D ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 4D ?? ?? 45 ?? ?? 4C ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? 45 ?? ?? 45 ?? ?? BA ?? ?? ?? ?? 31 ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 88 } $1807250632_125 = { 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? 4D ?? ?? 48 ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 45 ?? ?? 4D ?? ?? 4C ?? ?? 4C ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 } $1807244815_125 = { 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? 49 ?? ?? 4C ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 45 ?? ?? 4D ?? ?? 4C ?? ?? 4C ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 85 } $1807376832_81 = { 41 ?? 41 ?? 41 ?? 41 ?? 5? 5? 5? 5? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 41 ?? ?? ?? 0F 10 ?? 48 ?? ?? ?? ?? ?? ?? ?? 0F 10 ?? 49 ?? ?? 48 ?? ?? 4C ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? 83 ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 7D } $1807378924_80 = { 48 ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? E8 ?? ?? ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 10 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 8B ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? 39 ?? ?? ?? ?? ?? ?? 74 } $1807227484_78 = { 31 ?? 31 ?? 4C ?? ?? FF D? 49 ?? ?? ?? 31 ?? 4D ?? ?? 4C ?? ?? F2 ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? ?? 4C ?? ?? F2 ?? 89 ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? 4C ?? ?? 48 ?? ?? 44 ?? ?? ?? FF 1? ?? ?? ?? ?? 85 ?? 0F 84 } $1807233543_78 = { 4C ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? ?? 49 ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? 49 ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? 41 ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 45 ?? ?? 0F 85 } $1807231440_74 = { 4C ?? ?? 31 ?? 48 ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 8A ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 42 ?? ?? ?? 0F BE ?? FF 1? ?? ?? ?? ?? 48 ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? 75 } $1807236234_71 = { 41 ?? 41 ?? 41 ?? 41 ?? 5? 5? 5? 5? 48 ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 48 ?? ?? C6 ?? ?? 49 ?? ?? 44 ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? 4C ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 0F 85 } $1807238694_70 = { 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? 0F 84 } $1807227341_69 = { 31 ?? 31 ?? FF D? 4C ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 4C ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 49 ?? ?? 48 ?? ?? 0F 84 } $1807227414_66 = { 4D ?? ?? 45 ?? ?? 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 49 ?? ?? 48 ?? ?? 0F 84 } $1807378203_62 = { 41 ?? ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 31 ?? 41 ?? ?? 41 ?? ?? ?? ?? ?? ?? 99 41 ?? ?? 45 ?? ?? 41 ?? ?? ?? ?? ?? 0F 9F ?? 01 ?? 8D ?? ?? ?? ?? ?? 99 41 ?? ?? 48 ?? ?? 81 F? ?? ?? ?? ?? 7D } $1807378800_62 = { 41 ?? 41 ?? 41 ?? 5? 5? 5? 5? 48 ?? ?? ?? ?? ?? ?? 0F 11 ?? ?? ?? ?? ?? ?? F2 ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? 49 ?? ?? 49 ?? ?? 4C ?? ?? 0F 54 ?? ?? ?? ?? ?? 66 ?? ?? ?? 66 ?? ?? ?? 73 } $1807239523_59 = { 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 4C ?? ?? ?? ?? ?? ?? 49 ?? ?? 4C ?? ?? 4C ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 84 } $1807234558_49 = { 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? 45 ?? ?? 45 ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? ?? FF D? 83 ?? ?? 0F 85 } $1807229643_48 = { 48 ?? ?? ?? ?? ?? 0F B7 ?? ?? C7 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 66 ?? ?? ?? ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? 8A ?? ?? ?? ?? ?? 84 ?? 75 } $1807251921_46 = { 44 ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? 4C ?? ?? 41 ?? ?? 89 ?? 0F B7 ?? 8B ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? 89 ?? ?? 41 ?? ?? ?? ?? ?? ?? 74 } $1807234510_44 = { 48 ?? ?? ?? ?? 41 ?? ?? ?? ?? ?? 45 ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 48 ?? ?? ?? ?? FF D? 85 ?? 0F 85 } $1807248778_42 = { 48 ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 48 ?? ?? ?? ?? ?? ?? 4C ?? ?? 4C ?? ?? 48 ?? ?? ?? ?? ?? ?? ?? E8 ?? ?? ?? ?? 84 ?? 0F 84 } $1807227300_37 = { C7 ?? ?? ?? ?? ?? ?? ?? 45 ?? ?? 45 ?? ?? 31 ?? 48 ?? ?? ?? ?? ?? ?? FF 1? ?? ?? ?? ?? 49 ?? ?? 48 ?? ?? 0F 84 } $1807409201_33 = { 48 ?? ?? BD ?? ?? ?? ?? 49 ?? ?? 48 ?? ?? ?? 31 ?? 48 ?? ?? 0F 92 ?? 48 ?? ?? 4D ?? ?? 48 ?? ?? 75 } $1807348925_27 = { 48 ?? ?? 48 ?? ?? ?? ?? ?? ?? 42 ?? ?? ?? ?? 88 ?? ?? ?? 0F B6 ?? ?? 45 ?? ?? 74 } $1807351416_16 = { 48 ?? ?? ?? 48 ?? ?? ?? 48 ?? ?? 4C ?? ?? 0F 86 } condition: uint16(0) == 0x5a4d and filesize < 1MB and 18 of them }

Ip

ValueDescriptionCopy
ip108.167.180.186

Threat ID: 682acdbebbaf20d303f0f5fb

Added to database: 5/19/2025, 6:20:46 AM

Last enriched: 6/18/2025, 7:19:33 AM

Last updated: 8/14/2025, 1:59:38 AM

Views: 14

Related Threats

ThreatFox IOCs for 2025-08-16

Medium
MalwareSun Aug 17 2025

ThreatFox IOCs for 2025-08-15

Medium
MalwareSat Aug 16 2025

ThreatFox IOCs for 2025-08-14

Medium
MalwareFri Aug 15 2025

ThreatFox IOCs for 2025-08-13

Medium
MalwareThu Aug 14 2025

ThreatFox IOCs for 2025-08-12

Medium
MalwareWed Aug 13 2025

Actions

PRO

Updates to AI analysis are available only with a Pro account. Contact root@offseq.com for access.

Please log in to the Console to use AI analysis features.

External Links

Search on Google

Need enhanced features?

Contact root@offseq.com for Pro access with improved analysis and higher rate limits.

Latest Threats