网络安全公司Kroll发现俄罗斯APT28组织利用名为GONEPOSTAL的恶意Outlook宏后门进行间谍活动。该恶意软件通过DLL侧加载和VBA宏引擎建立隐蔽的命令控制通道。APT28与俄罗斯军方情报机构有关，曾参与多起重大网络攻击。此攻击手法利用合法电子邮件流量，企业需关注异常的Outlook宏活动和注册表修改。