Som en del av angreppen har hackarna tagit över befintliga e-postkonton från israeliska tjänstemän och skapat falska imitationskonton för att locka de utsatta personerna till långa e-postkonversationer. Företaget tror att målet med operationen är att stjäla personlig information, pass-skanningar och tillgång till e-postkonton. Man har kunnat spåra operationen till åtminstone december 2021, men misstänker att det kan ha pågått tidigare än så. Upptäckten kommer i samband med redan ökade spänningar mellan Israel och Iran då tidigare iranska försök att kapa information från israeliska mål via e-post har inträffat.

CPR menar att aktörerna bakom operationen är en iranskstödd enhet. Bevisen pekar på en möjlig koppling av operationen till den APT-gruppen Phosphorus med anknytning till Iran. Gruppen har en lång historia av att genomföra högprofilerade cyberoperationer, i linje med den iranska regimens intressen, samt att rikta in sig på israeliska tjänstemän.

– Vi har avslöjat iransk infrastruktur med nätfiske som riktar sig till israeliska och amerikanska chefer inom den offentliga sektorn, med målet att stjäla deras personliga information, pass-skanningar och åtkomst till deras e-postkonton. Vi har solida bevis för att angreppen började åtminstone från december 2021, men vi antar att det började tidigare. Den mest välutvecklade delen av angreppen är deras nivå av social engineering. Angriparna använder riktiga kapade e-postkedjor, imitationer av välkända kontakter till måltavlorna och specifika lockelser för varje enskilt mål. CPR kommer att fortsätta att övervaka operationen, säger Sergey Shykevich, Threat Intelligence Group Manager på Check Point Research.