กลุ่มผู้โจมตีที่มีเป้าหมายทางการเงินเปิดเผยว่าได้ขายช่องทางการเข้าถึงระบบขององค์กรที่ถูกโจมตี ให้กับกลุ่มผู้โจมตีรายอื่นเพื่อดำเนินการต่อ เช่น การติดตั้งแรนซัมแวร์

หน่วยงาน SecureWorks Counter Threat Unit (CTU) ตั้งชื่อกลุ่มอาชญากรไซเบอร์นี้ว่า Gold Melody ซึ่งยังเป็นที่รู้จักในชื่อ Prophet Spider (ถูกเรียกโดย CrowdStrike) และ UNC961 (ถูกเรียกโดย Mandiant)

บริษัทด้านความปลอดภัยทางไซเบอร์ระบุว่า "กลุ่มที่มีเป้าหมายทางการเงินกลุ่มนี้ ได้ดำเนินการมาอย่างน้อยตั้งเเต่ปี 2017 ได้ทำการโจมตีองค์กรโดยใช้ประโยชน์จากช่องโหว่ในเซิร์ฟเวอร์ที่เชื่อมต่อกับอินเทอร์เน็ตที่ยังไม่ได้รับการอัปเดตแพตช์"

ลักษณะของเหยื่อชี้ให้เห็นว่าเป็นการโจมตีแบบ opportunistic เพื่อเป้าหมายทางการเงิน มากกว่าจะเป็นแคมเปญที่กำหนดเป้าหมายที่ดำเนินการโดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เพื่อการสอดแนม การทำลาย หรือการก่อความวุ่นวาย

Gold Melody เคยถูกเชื่อมโยงกับการโจมตีที่ใช้ช่องโหว่ด้านความปลอดภัยใน JBoss Messaging (CVE-2017-7504), Citrix ADC (CVE-2019-19781), Oracle WebLogic (CVE-2020-14750 และ CVE-2020-14882), GitLab (CVE-2021-22205), Citrix ShareFile Storage Zones Controller (CVE-2021-22941), Atlassian Confluence (CVE-2021-26084), ForgeRock AM (CVE-2021-35464), และ Apache Log4j (CVE-2021-44228) servers.