资安业者赛门铁克提出警告，他们看到有越来越多骇客，在攻击行动当中，滥用微软图学资料分析服务Graph的API，并指出骇客这么做的目的，通常是也利用微软云端服务架设C2基础设施的情况下，能够促进相关通讯的进行。

研究人员看到利用上述手法针对乌克兰组织的攻击行动，对方使用名为BirdyClient（或OneDriveBirdyClient）的恶意程式，并将其伪制成笔记型电脑触控板驱动程式ALPS Pointing Device Driver（Apoint.exe）相关的DLL程式库元件vxdiff.dll。

此恶意程式的主要功能，就是连接微软Graph的API，并利用云端档案共享服务OneDrive充当C2伺服器，然后让攻击者能上传或下载档案。不过，攻击者的动机为何？研究人员指出，由于尚未找到其他作案工具，目前无从得知意图，也不确定攻击者的身分。

但这并非骇客首度滥用Graph的API，最初是2021年资安业者Volexity发现，北韩骇客组织InkySquid在发动恶意软体BlueLight攻击行动的过程里，就滥用这种API建立C2连线。曾经将该API用于攻击行动的骇客组织，还包含了APT28、APT29、REF2924、Red Stinger、Flea、OilRig。