חוקרי חברת צ'ק פוינט דיווחו כי מתקפת דיוג שנחפשה לאחרונה תוכננה בקפידה כדי לעקוף הגנות אבטחת מידע ולמנוע גילוי על ידי הקורבנות – הופעלה נגד חברות ייצור תעשייתי וחברות אחרות קריטיות לשרשראות אספקה שונות. חוקרי הסייבר טוענים כי מתקפת דיוג זו הופעלה על ידי פושעי סייבר בעלי מוטיבציה כלכלית. מטרת מתקפת דיוג זו הינה להעביר לקורבן ארכיון ZIP זדוני המכיל סקריפט PowerShell אשר יופעל בזיכרון ולהשתמש בו בסופו של דבר כדי להעביר דלת אחורית מותאמת אישית בזיכרון בשם "MixShell". הנוזקה משתמשת במנהור DNS TXT עם חלופת HTTP לתקשורת C2 ומבצעת פקודות ופעולות קבצים מרחוק.
הדבר המעניין במתקפת דיוג זו הינו המאמץ שהושקע בשכנוע העובדים – הקורבנות לסמוך על הדוא"ל ולהוריד ולהפעיל את קובץ ה- ZIP הזדוני. פושעי הסייבר פנו לקורבנות באמצעות טופס "צור קשר" שנמצא באתר האינטרנט של חברות היעד ובכך למעשה רימו את הקורבנות ליזום התכתבות בדוא"ל ולעקוף אוטומטית את מסנני דוא"ל: "פושעי סייבר משקיעים ימים או שבועות בשיחות מקצועיות ואמינות ולעתים קרובות מבקשים מהקורבן לחתום על הסכם סודיות (NDA – מסמך אשר יכול לשמש את פושעי הסייבר כפיתיון)", אמרו חוקרי הסייבר והוסיפו: "נראה כי הדומיינים בהם משתמשים פושעי הסייבר כדי ליזום תקשורת דוא"ל, נבחרו בקפידה בשל אמינותם והלגיטימיות שלהם. רבים מהדומיינים הללו תואמים לשמות של חברות בע"מ הרשומות בארה"ב ובמקרים מסוימים, ייתכן שהיו שייכים בעבר לעסקים לגיטימיים." דומיינים אלו נרשמו במקור לפני יותר מחמש שנים. המוניטין הברור שלהם וההיסטוריה העסקית הלגיטימית שלהם סייעו לפושעי הסייבר להטעות הן את מסנני האבטחה והן את הקורבנות. ברגע שחשו פושעי הסייבר שהם הצליחו לזכות באמון הקורבנות, הם ביקשו מהם להוריד את הקובץ הזדוני מתת-דומיין של herokuapp.com.
חוקרי הסייבר גם זיהו גל חדש יותר של הודעות דוא"ל דיוג הקשורות לאותה מתקפה: במקום ליצור קשר באמצעות טופס "צור קשר", שלחו פושעי הסייבר דוא"ל ישירות לעובדים, כשהם טוענים כי הם עובדים עם הארגון כדי לסייע ביישום שינויים תפעוליים המונעים על ידי בינה מלאכותית: "האימייל הוצג כיוזמה פנימית ומוסגר כ'הערכת השפעה של בינה מלאכותית', המבקשת מהנמען לעיין בשאלון קצר על האופן שבו עשויה בינה מלאכותית להשפיע על זרימות העבודה של הצוות שלו. כדי להגביר את הלגיטימיות והדחיפות, ציינו פושעי הסייבר במפורש כי הנהלת החברה ביקשה את הדעה האישית של הנמען, מה שמרמז על כך שדעתו תשפיע על החלטות גולריות בעתיד", ציינו החוקרים.
פושעי הסייבר כיוונו לארגונים במספר מגזרים, אך בעיקר בארה"ב. הם פגעו בעיקר בחברות גדולות, אך גם חברות קטנות ובינוניות (SMB) היו למטרה. חוקרי הסייבר ציינו כי: "המעורבות ארוכת הטווח עם הקורבן (שיחות של מספר שבועות) מצביעה על כך שפושעי הסייבר מוכנים להשקיע זמן בטיפוח הקשר ללא קשר לגודל החברה וייתכן שיתאימו את מאמציהם על סמך ערך המידע שעתיד להיגנב או על סמך קלות הפריצה." יש לציין כי למעלה מ- 80% מהיעדים שזוהו במתקפת סייבר זו ממוקמים בארצות הברית, דבר המדגיש ריכוז גיאוגרפי ברור, בעוד שגם חברות בסינגפור, יפן ושוויץ היו למטרות. בסך הכל, דפוסי המעורבות שנצפו היו ממוקדים בארה"ב בכל הנוגע לתשתיות, סגנון תקשורת ונקודות גישה ראשוניות.
