Forest Blizzard alias APT28 zielt in letzter Zeit vor allem auf Einrichtungen der NATO, mit ihr verbundene Organisationen und Institutionen, Organisationen in der Luft- und Raumfahrt und im Verteidigungssektor, Regierungsbehörden, das Gastgewerbe, internationale Sportverbände und die Medien ab. Darüber hinaus wurde Forest Blizzard bei Cyberoperationen während des Krieges zwischen Russland und der Ukraine beobachtet.
Forest Blizzard, auch bekannt als Fancy Bear, Pawn Storm, Sednit Gang, Sofacy Group, BlueDelta, und STRONTIUM investiert viel Geld und Aufwand in die Ausarbeitung äußerst glaubwürdiger Social-Engineering-Angriffe. Dies macht sie besonders geschickt bei der Umgehung herkömmlicher Sicherheitsmaßnahmen.
Seit 2004 aktiv, verändert die Gruppe immer wieder ihre Strategien und Taktiken. Sie wurde dabei beobachtet, wie sie eine Vielzahl von Techniken anwendet, z. B. Spear-Phishing-E-Mails, Köderdokumente, in denen sie sich als Regierungs- und Nichtregierungsorganisationen (NGOs) ausgeben, das Sammeln von Anmeldeinformationen über gefälschte Websites, das Ausnutzen von Zero-Day-Schwachstellen und die Entwicklung maßgeschneiderter Malware.
In letzter Zeit hat sie nach Informationen des ukrainischen CERT-UA eine kritische Energieinfrastruktur in der Ukraine angegriffen. Sie hatten Phishing E-Mails mit gefälschten Absenderadressen und als Archive getarnten Links, wie „photo.zip“, verschickt. Klickt ein Nutzer auf den Link, lädt sich eine ZIP-Datei herunter, die gefälschte JPG-Bilder und ein bösartiges Batch-Skript enthält.
Im weiteren Verlauf werden Remote-Befehle über „curl“ über die legitime API des webhook.site-Dienstes ermöglicht. Am Ende werden Tasks erstellt, die ein VBS-Skript mit einer BAT-Datei als Argument ausführen. In weiteren Kampagnen nutzte die Gruppe SmokeLoader, Nanocore RAT, Crimson RAT und Agent Tesla.