De vanligaste offren för cyberspionage från så kallade APT:er (Advanced Persistent Threat actors) är statliga instanser, diplomater och teleoperatörer, då dessa typer av verksamheter ofta hanterar mycket konfidentiell och känslig information. Det är sällsynt att cyberspionagekampanjer riktar in sig på industriella aktörer. Industrispionage är dock allvarligt och kan orsaka mycket skada.

– Montysthree är intressant, inte bara på grund av att offren är industriella verksamheter, utan också för att de kombinerar både sofistikerade och lite amatörmässiga metoder. Viktigast är dock att de som ligger bakom Montysthree verkar ha väldigt tydliga långsiktiga mål med sin verksamhet. Detta är inget spontant initiativ, säger Denis Legezo, säkerhetsforskare på Kaspersky.

För att utföra sitt spionage distribuerar Montysthree ett skadligt program som består av fyra moduler. Den första sprids med hjälp av en fil som relaterar till något som är bekant för mottagaren, så att de luras att ladda ner filen. Montysthree är utformat för att rikta in sig på Microsoft- och Adobe Acrobat-dokument. Den insamlade informationen och annan kommunikation med den skadliga kodens styrserver är sedan baserad i offentliga molntjänster som Google, Microsoft och Dropbox, vilket gör kommunikationstrafiken svår att upptäcka eftersom inga antivirus blockerar dessa tjänster.