A ransomware támadások látványosak és incidensválasz szempontból kiszámíthatók – és éppen ezek miatt alkalmasak arra, hogy eltereljék a figyelmet a valódi támadási célról. Ezt ismerte fel és alkalmazta a Nebulous Mantis orosz nyelvű, kiberkémkedésre szakosodott csoport a Prodaft és a Bridewell kiberbiztonsági cégek elemzői által feltárt, 2024 és 2025 fordulóján végrehajtott kampányában, amely a NATO-tagállamok kormányzati és védelmi szervezeteit célozta.12

Ebben a kampányban ugyanis a ransomware csak egy díszlet volt, amellyel a célzott adatlopást, kémkedést fedték el. A zsarolóvírus-támadás során alkalmazott klasszikus incidensválasz-rutinok elterelték az áldozatok figyelmét a valós támadási célról – miközben a támadók megszerezték, amit akartak.

A kampány során használt támadó infrastruktúra és a ransomware alkalmazása ugyanakkor több ponton is illeszkedik a zsarolóvírus-ökoszisztéma átalakuló modelljéhez, amelyben az eszközök, szolgáltatók és célok közötti határvonalak elmosódnak és egyre kevésbé állapítható meg, hogy egy adott támadás pusztán pénzért történt, vagy egyben egy geopolitikai stratégia eszköze is.3 A Nebulous Mantis esetében egyértelműen az utóbbi a meghatározó: nem a pénzszerzés, hanem az információszerzés volt az elsődleges cél és ezzel egy új szintre emelte az álcázott kiberkémkedés műfaját.