微軟針對俄羅斯駭客組織APT28（他們稱做Forest Blizzard）的攻擊手法進行分析，對方從2019年4月開始，利用名為GooseEgg的工具，該工具執行後會竄改JavaScript約束（constraints）檔案，並以系統層級運作，然後觸發Windows列印多工緩衝處理器（Print Spooler）服務漏洞CVE-2022-38028（CVSS風險評分為7.8）。

研究人員看到這些駭客運用該工具的攻擊範圍相當廣泛，涵蓋烏克蘭、西歐、北美的政府機關、非政府組織、教育單位、交通運輸單位。

雖然GooseEgg的功能相當單純，主要是用來載入應用程式，但攻擊者能將其用於提升權限，而能以獲得的高權限執行其他應用程式，從而遠端執行程式碼、部署後門程式，以及在網路環境中進行橫向移動。

而對於攻擊者植入惡意程式的方法，APT28通常使用批次檔部署GooseEgg，該批次檔執行過程會建立另一個批次檔servtask.bat，以便存放相關配置，並讓GooseEgg能持續於受害電腦運作。