資安業者賽門鐵克提出警告，他們看到有越來越多駭客，在攻擊行動當中，濫用微軟圖學資料分析服務Graph的API，並指出駭客這麼做的目的，通常是也利用微軟雲端服務架設C2基礎設施的情況下，能夠促進相關通訊的進行。

研究人員看到利用上述手法針對烏克蘭組織的攻擊行動，對方使用名為BirdyClient（或OneDriveBirdyClient）的惡意程式，並將其偽製成筆記型電腦觸控板驅動程式ALPS Pointing Device Driver（Apoint.exe）相關的DLL程式庫元件vxdiff.dll。

此惡意程式的主要功能，就是連接微軟Graph的API，並利用雲端檔案共享服務OneDrive充當C2伺服器，然後讓攻擊者能上傳或下載檔案。不過，攻擊者的動機為何？研究人員指出，由於尚未找到其他作案工具，目前無從得知意圖，也不確定攻擊者的身分。

但這並非駭客首度濫用Graph的API，最初是2021年資安業者Volexity發現，北韓駭客組織InkySquid在發動惡意軟體BlueLight攻擊行動的過程裡，就濫用這種API建立C2連線。曾經將該API用於攻擊行動的駭客組織，還包含了APT28、APT29、REF2924、Red Stinger、Flea、OilRig。