Как говорится в сообщении, которое цитирует "Коммерсантъ", 11 июля была зафиксирована рассылка вредоносных писем от имени МЧС. В тексте письма содержится просьбе загрузить приложенный файл, где якобы содержится список сотрудников организации, которые "могут симпатизировать группам, дестабилизирующим внутреннюю ситуацию в России".

За отсутствие ответа получателям угрожают "юридическими мерами". На самом деле под видом файла Spisok_rabotnikov.pdf загружается вредоносная программа. Она собирает данные и документы с компьютера.

Ранее группировка XDSpy уже использовала такой метод атаки. В середине марта они подобным образом атаковали МИД РФ. В октябре 2022 года группировка организовала рассылку фейковых повесток от имени Минобороны.

Первое сообщение о группировке XDSpy появилось в 2020 году. Тогда были атакованы компьютеры в госорганах Белоруссии. По сообщению разработчика антивирусного программного обеспечения компании ESET, за атакой стояла ранее неизвестная группа хакеров. Специалисты по кибербезопасности до сих пор не определились, в чьих интересах работает XDSpy. По данным F.A.C.C.T., большая часть жертв этой группы находится в России.