Русскоязычная хак-группа APT29 (она же  Midnight Blizzard и Cozy Bear) замечена в использовании эксплоитов для iOS и Android, созданных коммерческими производителями шпионского ПО (например, Intellexa и NSO Group), сообщают исследователи Google Threat Analysis Group (TAG).По словам специалистов TAG, эксплоиты применялись в серии атак в период с ноября 2023 года по июль 2024 года, в ходе которых APT29 скомпрометировала несколько сайтов правительства Монголии и использовала технику watering hole («водопой»).Этим термином обозначают атаки, аналогичные тактике хищников, которые охотятся у водопоя, поджидая свою добычу — животных, пришедших напиться. Подразумевается, что злоумышленники внедряют на легитимные сайты вредоносный код, где тот и дожидается своих жертв, отвечающим определенным критериям: конкретная архитектура устройства или местоположение (на основе IP-адреса).В своих атаках APT29 использовала эксплоиты, практически идентичные тем, что применялись коммерческими шпионскими решениями, в том числе, созданными NSO Group и Intellexa, которые использовали ряд уязвимостей как 0-day, когда патчей для них еще не было.Так, в ноябре 2023 года APT29 взломала монгольские правительственные сайты cabinet.gov[.]mn и mfa.gov[.]mn, и добавила в их код вредоносный iframe, который доставлял эксплоит для уязвимости CVE-2023-41993. Эту проблему в iOS WebKit хакеры использовали для кражи файлов cookie у пользователей iPhone под управлением iOS 16.6.1 и старше.