研究人員發現,這些駭客採用了新的攻擊框架DarkBeatC2,用於架設Tactical RMM的管理控制臺,很有可能藉此對受害電腦部署勒索軟體。
從攻擊者使用的網路釣魚攻擊來看,手法並未出現太多特殊之處,不只誘餌是相當常見的PDF檔案,部分濫用的雲端服務雖然在臺灣多數人並不熟悉,但與先前該組織的攻擊行動所採用的幾乎相同。至於最終用來控制受害電腦的合法遠端管理軟體Atera,也曾在多起攻擊行動出現。但值得留意的是,這些駭客借助其他駭客軟體供應鏈攻擊成果,從而製造來源看似可信的釣魚信。
研究人員提及,上述提及對方針對的教育機構,是以色列軟體業者Rashim的客戶,而另一個組織Lord Nemesis曾對該公司下手,發動供應鏈攻擊,而很有可能取得這些教育機構的相關資料,並提供MuddyWater運用。由於該組人馬是另一個伊斯蘭革命衛隊(IRGC)資助的駭客組織Mint Sandstorm的旗下團體。換言之,這起攻擊行動應該與伊朗當局有所關連。