APT29又名Cozy Bear，是一个主要从事信息窃取和间谍活动的APT组织。2023年4月13日，波兰军事反情报局发布了APT29攻击武器Halfrig、Quarterrig和Snowyamber的分析报告，这三个攻击武器都被用来加载CobaltStrike Https Beacon。亚信安全威胁情报中心安全分析人员发现了一个新恶意文件Version.dll，该样本使用到的密钥与APT29在历史攻击事件中的密钥保持一致，通过Msf生成的Shellcode进行通信。

　　通过研判发现同时上传了Version.dll、OneDrive.Update和Vresion.dll，与之前攻击利用链相同：

　　APT29在不同攻击目标间频繁实施武器和服务器配置的复用。举例来说，2018年该组织曾用WellMess攻击日本，4年后，他们再次利用WellMess对中国实施窃密行动如何获取反向代理服务器ip。在2022年，APT29采用了密钥“jikoewarfkmzsdlhfnuiwaejrpaw”解密Shellcode，随后的Shellcode含有Brc4相关的恶意负载。最新发现的样本中，沿用与APT29相同密钥解密Shellcode，后续的Shellcode则包含Msf相关的恶意负载。