A kibertérben megfigyelhető egy olyan veszélyesebb tendencia, ahol APT csoportok opportunista infostealer (adatlopó) kártevőket alakítanak át precíziós kiberkémkedési eszközzé. Ezek a kártevők, amelyek széles körben gyűjtötték a belépési adatokat, most kormányzati és diplomáciai szervezeteket céloznak meg világszerte. Több ország külügyminisztériumának (MOFA) hitelesítő adatait kompromittálták, mint például Szaúd-Arábia, Dél-Korea, az Egyesült Arab Emírségek, Katar és Omán rendszereit a Hudson Rock Cavalier szerint. A támadások tipikusan adathalász e-mailekkel, fertőzött letöltésekkel vagy manipulált szoftverekkel indulnak. Ha diplomaták fiókjait kompromittálják, a támadók hiteles kormányzati hozzáférésekhez juthatnak, ami lehetővé teheti számukra, hogy valódi kommunikációnak álcázott kampányokat indítsanak. 2025. augusztusában egy ománi nagykövetségi e-mail fiókból indított adathalász támadás (feltételezhetően iráni kötődésű csoportoktól) a Világbankot és az ENSZ-t is célba vette. A támadást úgy időzítették, hogy a közel-keleti tűzszüneti tárgyalások idejére essen, hogy ezzel stratégiailag hírszerzési célt szolgáljon. Emellett a 2025-ös India-Pakisztán „Operation Sindoor” konfliktus során a Bitter APT egy infostealerrel megszerzett rendőrségi fiók adatait használta, célzott támadások indítására Pakisztán telekommunikációs infrastruktúrája ellen (PTCL.) A támadás az iszlámábádi rendőrségi terrorellenes osztály egyik e-mail fiókjából indult, amit még 2024-ben fertőzött, feltört szoftverek telepítésével kompromittáltak. A Bitter APT a megszerzett rendőrségi hitelesítő adatokkal célzott adathalász e-maileket küldött, amelyekkel WmRAT kártevőt telepítettek és feltörték Pakisztán kritikus távközlési infrastruktúráját.
Ezek az esetek is jól mutatják, milyen súlyos következményekkel járhatnak az ilyen jellegű támadások:
a támadók a megszerzett adatokat és információkat diplomáciai félrevezetésre, tárgyalások befolyásolására vagy újabb célpontok megtámadására használhatják. A fenyegetés kezelése proaktív, hírszerzés-alapú védekezést igényel: valós idejű kompromittált hitelesítő figyelést (például Hudson Rock Cavalier), többrétegű védelmet, viselkedésalapú e-mail monitorozást, valamint EDR-t és biztonságtudatossági képzéseket.
