微软针对俄罗斯骇客组织APT28（他们称做Forest Blizzard）的攻击手法进行分析，对方从2019年4月开始，利用名为GooseEgg的工具，该工具执行后会窜改JavaScript约束（constraints）档案，并以系统层级运作，然后触发Windows列印多工缓冲处理器（Print Spooler）服务漏洞CVE-2022-38028（CVSS风险评分为7.8）。

研究人员看到这些骇客运用该工具的攻击范围相当广泛，涵盖乌克兰、西欧、北美的政府机关、非政府组织、教育单位、交通运输单位。

虽然GooseEgg的功能相当单纯，主要是用来载入应用程式，但攻击者能将其用于提升权限，而能以获得的高权限执行其他应用程式，从而远端执行程式码、部署后门程式，以及在网路环境中进行横向移动。

而对于攻击者植入恶意程式的方法，APT28通常使用批次档部署GooseEgg，该批次档执行过程会建立另一个批次档servtask.bat，以便存放相关配置，并让GooseEgg能持续于受害电脑运作。