自2020年1月以来，Proofpoint研究人员一直在追踪TA2552组织利用微软Office 365第三方应用（3PA）访问的可疑活动，该活动可追溯到2019年8月。TA2552使用精心制作的西班牙语诱饵并利用小范围内的主题和品牌，来诱使用户点击消息中的链接，得以将其带到合法的微软第三方应用程序同意页面。用户将被提示通过OAuth2或其他基于令牌的授权方法，授予第三方应用程序对其Office 365帐户的只读用户权限。TA2552寻求访问特定的账户资源，如用户的联系人和邮件，请求这些账户资源的只读权限可以用来进行账户侦察、窃取数据或者拦截其他账户（如金融机构的账户）的密码重置消息。