חברת מיקרוסופט מדווחת כי קבוצה של האקרים הנתמכים על ידי איראן, מכוונת לחוקרים בעלי פרופיל גבוה בארגוני מחקר ואוניברסיטאות ברחבי אירופה וארצות הברית, תוך מתקפות דיוג אשר מטרתן להחדיר נוזקות דרך דלתות אחוריות. ההאקרים הינם ככל הנראה תת קבוצה של קבוצת ריגול הסייבר האיראנית הידועה לשמצה APT35 (מוכרת גם כ- Charming Kitten או Phosphorus) המקושרת למשמרות המהפכה האסלאמית. ההאקרים שלחו מיילים מותאמים אישית וקשים לזיהוי באמצעות חשבונות דוא"ל שנפרצו בעבר: "מאז נובמבר 2023 זיהתה מיקרוסופט תת קבוצה של האקרים המכוונת לאנשים בעלי פרופיל גבוה העובדים בתחומי מחקר המזרח התיכון באוניברסיטאות וארגוני מחקר בבלגיה, צרפת, עזה, ישראל, בריטניה וארצות הברית".
קבוצת משנה זו של APT35 מתמקדת במתקפות סייבר וגניבת נתונים רגישים ממערכות המחשוב של מטרות בעלות ערך גבוה. היא ידועה כמי שכיוונה בעבר מתקפות סייבר כלפי חוקרים, פרופסורים, עיתונאים ואנשים אחרים בעלי ידע בנושאי ביטחון ומדיניות, המתואמים עם האינטרסים האיראניים: "חוקרים אלו העובדים עם גופי מחקר, או שיש להם פוטנציאל להשפיע על קהילות המודיעין והמדיניות – הינם יעדים אטרקטיביים עבור יריבים המבקשים לאסוף מודיעין עבור המדינות המממנות את פעילותן, כמו הרפובליקה האסלאמית של איראן", אמרה מיקרוסופט והדגישה: "בהתבסס על זהות המטרות שנצפו במסע מתקפות סייבר זה והשימוש בפתיונות הקשורים למלחמת ישראל-חמאס, ייתכן שמתקפת סייבר זו הינה ניסיון לאסוף נקודות מבט אודות אירועים הקשורים למלחמה, מאנשים מכל הקשת האידיאולוגית".
בין מרץ 2021 ליוני 2022, הפעילה APT35 דלת אחורית לפחות ב- 34 ארגונים וכך החדירה דרכן נוזקות. מסע מתקפות סייבר זה כוון לארגוני ממשלה ושירותי בריאות, כמו גם לחברות בשירותים הפיננסיים, ההנדסה, הייצור, הטכנולוגיה, המשפט, הטלקומוניקציה ותעשיות אחרות. קבוצת הפריצה האיראנית גם השתמשה בנוזקת NokNok שטרם נראתה במתקפות סייבר נגד מערכות macOS. זוהי דלת אחורית נוספת שנועדה לאסוף, להצפין ולגנוב מידע ממחשבי Mac.
