צוות המחקר של חברת SafeBreach, המפתחת פלטפורמה לסימולציות של תקיפה וחדירות סייבר לארגונים, יחד עם צוות המחקר של חברת Check Point הצליחו לזהות עדויות לפעילות מחודשת בקבוצת האיומים האיראנית המפורסמת "Infy" שמופעלת על ידי ממשלת איראן מאז שנת 2007. צוותי המחקר מצאו כי במהלך 2020 פותחו גרסאות חדשות של Foudre ו-Tonnerre שנשלחו באמצעות קובץ וורד הכולל מאקרו שמתקין את הרוגלה במחשב היעד.
עוד הם מצאו כי האיראנים שינו את צורת ההתקפה ושידרגו אותה לעומת שנים קודמת, מה שמעלה את הסיכון בקרב הקורבנות. "צוות המחקר שלנו הצליח בעצם להשיג את הכלי האיראני המתקדם Tonnerre. ביצענו ניתוח מעמיק שלו וגילינו כי האיראנים בעצם היפקו לקחים מהשתלטות קודמת על תשתית התקיפה שלהם שבוצעה בעבר ע"י חברת אבטחה אחרת וגרם להם לאבד נגישות למרבית הנתקפים ולכן שדרגו את האבטחה של מערך התקיפה לרמות הגבוהות ביותר", אמר תומר בר, ראש צוות המחקר בחברת סייפבריצ'.
במסגרת המחקר החברות חושפות כי מאז שנת 2018 האיראניים המשיכו לתקוף מתחת לרדאר, באמצעות שימוש כלי תקיפה חדש המכונה ע"י האיראנים Tonnerre (רעם בצרפתית). הרעם הוא הכלי החזק ביותר שלהם המאפשר בין היתר גם האזנה נפחית לשיחה המנוהלת ליד מחשב נגוע הכולל מיקרופון. כמו כן, הם מצאו כי שיטת התקיפה של האיראנים מורכבת משני שלבים. תחילה תקיפה באמצעות שליחת "ברק" (Foudre- ברק בצרפתית) לוידוא כי אין איומים מצד תוכנות אבטחה ושמחשב היעד ערכי לתוקף האיראני ורק אז הם שולחים את כלי התקיפה "רעם" על מנת לשמור עליו.
"המחקר המשותף חושף טקטיקות התקפה חדשות שלא נראו קודם לכן, ומי שעומד מאחורי מבצעי הריגול הללו מפגין מידה גבוהה של תחכום ולמידת לקחים מקמפיינים קודמים שאותרו", אמר יניב בלמס ראש מחלקת מחקר סייבר בצ'ק פוינט. "מחקרים מסוג זה שחושפים את היכולות המתקדמות של האירנים מוכיחות עד כמה מסוכנות יכולות להיות מתקפות סייבר כשממשלות משתמשות בהן כנגד אזרחים ומלמדות על החשיבות של שמירה על עירנות גבוהה בשימוש בטלפונים ניידים ומחשבים ביתיים, ולמעשה על כל מכשיר המחובר לאינטרנט".