חברת Cybereason Labs הישראלית טענה כי החשיפות של מתקפות הסייבר בהיקף גדול הגיעו בעקבות חקירה מקיפה שנמשכה מספר חודשים, וכי קבוצת הפריצות האיראנית לכאורה פועלת מאז 2018 ועדיין לא נחשפה.
על פי חקירת החברה הישראלית, הקבוצה האיראנית עבדה בחשאיות ודיוק מוחלט במאמץ לחדור ליעדים אסטרטגיים, במיוחד בקרב חברות וארגונים העוסקים בתחום תקשורת הנתונים, טכנולוגיות אוויריות וחלל.
הדו"ח הצביע על כך שהקבוצה האיראנית ניצלה תקלה ב- RAT (Remote Access Trojan) הידועה בשם ShellClient, שהושתלה במערכות הממוקדות, ולא זוהתה עד כה והתפתחה באופן משמעותי לאורך השנים. לאחר השתלתה בתשתית. של מוסדות, הפגם פעל ככלי עיקרי וכ"דלת אחורית ", כפי שמתארים אותו מומחים, לריגול וגניבת מידע רגיש הנוגע לתשתיות קריטיות, נכסים וטכנולוגיות שונות.
על פי החברה הישראלית, התוקפים ניצלו את השימוש הנרחב בפלטפורמת Dropbox הפופולרית (המציעה שירותי אחסון ענן בחינם) לטובת שליטה מרחוק על התוכנית המושתלת, במסווה של תעבורה לגיטימית בטווח הכתובות של הרשת. . בכך, התוקפים סרקו רשתות פנימיות וגנבו מידע ללא חשיפה לאנטי וירוס או הגנות אחרות.
מהחברה הישראלית נמסר כי במהלך החקירה נמצאו קשרים אפשריים עם קבוצות איראניות אחרות, אך החקירה אישרה כי השיטה הייחודית של קבוצת מלמקמק מבדילה אותה מקבוצות אחרות. לדבריו, הארגונים שנפגעו ורשויות האבטחה הרלוונטיות הודיעו על הפיגוע, אך הנזק האמיתי שגרם הפיגוע עדיין אינו ברור.
הדו"ח קבע כי ההתקפות על חברות ישראליות, שנחשפו לאחרונה, ושהן מכוונות לנתוני משתמשים, כולל תמונות של תעודות זהות, רישיונות נהיגה, כרטיסי אשראי ומידע אישי, היו בין הפיגועים הללו.