Charming Cypress
A Volexity rutinszerűen azonosítja az ügyfeleit célzó adathalász kampányokat. Az egyik kitartó fenyegetőző, akinek kampányait Volexity gyakran megfigyeli, az iráni eredetű fenyegetőző CharmingCypress (más néven Charming Kitten, APT42, TA453). A Volexity úgy értékeli, hogy a CharmingCypress feladata a külföldi célpontok elleni politikai hírszerzés, különös tekintettel az agytrösztekre, civil szervezetekre és újságírókra.
A CharmingCypress adathalászkampányaiban gyakran alkalmaz szokatlan social-engineering taktikákat, például hosszas beszélgetésekbe vonja be a célpontokat e-mailben, mielőtt rosszindulatú tartalmakra mutató linkeket küldene. A Volexity által megfigyelt egyik különösen figyelemre méltó spear-phishing kampányban a CharmingCypress odáig ment, hogy egy teljesen hamis webináriumi platformot készített a csali részeként. A CharmingCypress ellenőrizte a hozzáférést ehhez a platformhoz, és a hozzáférés engedélyezése előtt a célszemélyeknek rosszindulatú szoftverekkel teli VPN-alkalmazásokat kellett telepíteniük.
A blog egyes tartalmait nemrégiben a Microsoft jelentése is tárgyalta: Mint Sandstorm új TTP-ket figyeltek meg a kampányban.