Киберпреступникивсе чаще прибегают к использованию Microsoft Graph API, который изначально был создан для упрощения доступа к облачным сервисам компании. Этот интерфейс дает возможность управлять различными функциями и данными в облаке, такими как файлы, электронная почта и календари. Исследователи из Symantec, что хакеры активно используют API для управления вредоносными программами и создания скрытой инфраструктуры C2 в облачных сервисах.

Первый случай злоупотребления API был зафиксирован в июне 2021 года, когда киберпреступники воспользовались инструментом под названием Graphon для взаимодействия с инфраструктурой Microsoft. В последующие годы различные хакерские группировки, включая известные APTгруппы, такие как APT28и APT29, адаптировали этот метод для своих целей.

Этот подход используется для скрытия вредоносного трафика за обычным обменом данными с сервисами Microsoft, что затрудняет его обнаружение. Недавно было выявлено использование программного модуля с названием «vxdiff.dll», который, под видом законного файла, взаимодействует с Microsoft Graph API для управления данными в OneDrive, который выступает в роли сервера для команд и контроля.