המחקר מתמקד בהתפתחות מתקפות הסייבר שבוצעו בין אמצע פברואר לאפריל 2026. עיתוי הקמפיינים תואם באופן הדוק להסלמה האזורית שהחלה במזרח התיכון ב-28 בפברואר 2026 ולמבצע "שאגת הארי". במהלך החקירה זוהו שש גרסאות חדשות של הסוס הטרויאני לגישה מרחוק (RAT) שפותחו והופעלו בין פברואר לאפריל 2026.
ההתפתחות המשמעותית ביותר בקמפיין האחרון של הקבוצה עושה שימוש בטכניקה בשם .AppDomainManager hijacking מדובר בשיטה המנצלת את שלב האתחול של יישומי NET.כדי לנטרל מראש את מנגנוני האבטחה של היישום באמצעות קובץ קונפיגורציה לגיטימי. נטרול מנגנוני ההגנה הותיר את הארגונים המותקפים חשופים לגרסאות RAT רב-תכליתיות שהופעלו במסגרת המתקפה.
כזכור, במרץ האחרון דווח על מאבק אינטנסיבי במרחב הסייבר, כאשר לפי נתוני מערך הסייבר הלאומי, גורמים איראניים וחיזבאללה מפעילים מתקפות מתמשכות, רחבות היקף ומדויקות יותר מבעבר, בניסיון לפגוע בתשתיות, בארגונים ובאזרחים בישראל.