標的となるネットワークに対しては、若干内容の異なるスピアフィッシング電子メールキャンペーンが仕掛けられる。これらの電子メールは「AGREEMENT & Confidential」(合意書および機密事項)という表題となっており、PDF文書が添付されている。PDF内にはダウンロードが自動的に開始されない場合に備えてクリックするためのリンクが用意されており、それをクリックしてしまうとマルウェアがダウンロードされる。こういった電子メールすべては、攻撃者が狙いを定めている一般的な産業用制御システムや産業用制御機器、プロセス制御システムに言及した内容となっている。
こうしたキャンペーンでは、業界関連の出版/情報ウェブサイトを改ざんし、悪意のあるコンテンツを仕掛け、最終的な標的のネットワークに侵入するための踏み台にするようなことも行われている。
標的となるネットワークへの侵入を果たしたハッカーは、目的とする被害者のファイルサーバを検索して産業用制御システム、すなわちSCADAシステムに関するファイルを探し出す。その際には、ベンダー名のほか、「SCADA Wiring Diagram」(SCADA機器類の接続図)や「SCADA panel layouts」(SCADAのパネルレイアウト)といったファイル名を含むリファレンスドキュメントを見つけ出そうとする。
この攻撃の背後にいるのが何者なのかは明らかになっていないものの、分析のなかでは「APT」(Advanced Persistent Threat:高度かつ永続的な脅威)と称されている。APTは多くの場合、国家が背後にいるサイバー犯罪者を指す際に用いられる。また同レポートは、セキュリティ企業Symantecが実施した調査の結果にも言及している。Symantecはその調査レポートのなかで、攻撃者を「Dragonfly」(「Energetic Bear」という別名もある)と呼んでいる。Symantecによると今回のキャンペーンは、国家の関与する、高度な技術力を用いた攻撃行動である可能性が十分にあるという。
「このグループは豊富なリソースを有しており、さまざまなマルウェアツールを駆使し、数多くの第三者ウェブサイトを攻撃しながら、複数の攻撃ベクタを通じた攻撃を実施する力を持っている。その主たる動機はサイバー諜報活動であり、同能力を利用して妨害活動を起こすだけの力も副次的に有していると考えられる」(Symantec)
