Eind oktober 2017 ontdekt Feike Hacquebord van cybersecuritybedrijf Trend Micro dat Pawn Storm (ook wel bekend als Fancy Bear) een phishing-aanval voorbereidt op PAX, een samenwerkingsverband tussen IKV en Pax Christi. De hackers maken de domeinnaam ‘mail.paxforpeace.com’ aan. De officiële domeinnaam van de vredesorganisatie luidt ‘mail.paxforpeace.nl’. Hacquebord: 'Dat zijn wij verder gaan onderzoeken. Toen ontdekten wij digitale vingerafdrukken die duidelijk horen bij Pawn Storm.'
Op 1 november waarschuwt de hack-expert PAX. De organisatie treft direct maatregelen. Een dag later ontvangen achttien medewerkers van PAX een phishing mail waarin wordt gevraagd het wachtwoord te veranderen. Dat zou niemand hebben gedaan.
Tweede aanval
Diezelfde dag ziet Hacquebord hoe Pawn Storm een tweede aanval op PAX voorbereidt. De hackers maken opnieuw een domeinnaam aan (mail-paxforpeace.nl) die gelijkenis vertoont met het bona fide mailadres van de organisatie. Twee weken later, op 14 november, ontvangt een handjevol medewerkers van PAX opnieuw een phishing mail. Of deze mails óók afkomstig zijn van Pawn Storm is onduidelijk. PAX bevestigt de gang van zaken maar wil verder niet op de kwestie ingaan.
Waarom Pawn Storm PAX aanviel is gissen. De vredesorganisatie is al jaren kritisch over het Russische optreden in Syrië en Oekraïne. Ook sprak PAX zich publiekelijk uit als voorstander van het associatieverdrag tussen Oekraïne en de Europese Unie.
Nederlandse servers
De aanval op PAX was volgens Hacquebord afkomstig van computerservers in Nederland en Litouwen. Uit de Human-documentaire blijkt dat Pawn Storm vaker Nederlandse servers gebruikt. De hack van het Franse TV-station TV5Monde in april 2015 was volgens directeur Yves Bigot mede afkomstig 'van een IP-adres in Nederland'. Ook een poging van Pawn Storm in 2015 om in Maleisië toegang te krijgen tot het MH17 onderzoek vond plaats vanaf een server in Amsterdam. Uit onderzoek van Trend Micro blijkt dat het campagneteam van Emmanuel Macron (april 2017), het Democratic Congressional Campaign Committee (juni 2016) en de Amerikaanse Senaat (juni 2017) werden aangevallen vanuit Nederland. De hackers huren de servers bij zogenoemde hosters. Veel van deze bedrijven zijn gevestigd in Nederland.