หน่วยงานรัฐบาลในภูมิภาคตะวันออกกลาง และแอฟริกา ตกเป็นเป้าหมายการโจมตีทางไซเบอร์อย่างต่อเนื่อง โดยผู้โจมตีใช้เทคนิคการขโมยข้อมูลของผู้ใช้งาน และเทคนิคการขโมยข้อมูลออกจากระบบ Exchange email ที่มีลักษณะที่ไม่เคยถูกพบมาก่อน และหาได้ยาก
Lior Rochberger นักวิจัยจาก Palo Alto Networks ระบุในรายงานการศึกษาเจาะลึกทางเทคนิคที่เผยแพร่ในสัปดาห์ที่ผ่านมาว่า "เป้าหมายหลักของการโจมตี คือการได้รับข้อมูลที่เป็นความลับ และมีความสำคัญสูง โดยเฉพาะเกี่ยวกับนักการเมือง กิจกรรมทางทหาร และกระทรวงการต่างประเทศ"
ทีมวิจัยภัยคุกคามของ Cortex ติดตามพฤติกรรมภายใต้ชื่อชั่วคราวว่า CL-STA-0043 (คำว่า CL หมายถึงคลัสเตอร์ (Cluster) และคำว่า STA หมายถึงกลุ่มที่ได้รับการสนับสนุนจากภาครัฐ (State-Backed Motivation))
กระบวนการโจมตีเริ่มต้นจากการใช้ช่องโหว่ในระบบ Internet Information Services (IIS) และ Microsoft Exchange สำหรับการเจาะระบบเครือข่ายของเป้าหมาย
Palo Alto Networks รายงานว่า ตรวจพบการพยายามที่ไม่สำเร็จในการเรียกใช้ China Chopper web shell ในการโจมตีหนึ่งครั้ง ซึ่งทำให้ผู้โจมตีเปลี่ยนกลยุทธ์ไปใช้การโจมตีจาก Visual Basic Script บน Exchange Server แทน
เมื่อทำการโจมตีได้สำเร็จ ผู้โจมตีจะทำการสำรวจข้อมูลบนเครือข่าย และเลือกเฉพาะเซิร์ฟเวอร์ที่เก็บข้อมูลสำคัญ รวมถึง Domain Controllers, web servers, Exchange servers, FTP servers, และ SQL databases
CL-STA-0043 ยังมีการใช้ประโยชน์จากเครื่องมือภายในของ Windows เพื่อเพิ่มสิทธิ์การเข้าถึง ทำให้สามารถสร้างบัญชีผู้ดูแลระบบ และเรียกใช้โปรแกรมอื่น ๆ ด้วยสิทธิ์ที่สูงขึ้นได้
วิธีการเพิ่มสิทธิ์การเข้าถึงอีกวิธีหนึ่งคือการใช้งานคุณลักษณะในการเข้าถึงใน Windows ซึ่งเรียกว่า "sticky keys" utility (sethc.