Aanvallers maken nog altijd gebruik van jaren oude Citrix-kwetsbaarheden om organisaties met ransomware te infecteren, zo stelt de FBI. Ook oude kwetsbaarheden in firewalls van Palo Alto Networks en BIG-IP F5-apparaten worden gebruikt. Samen met het Amerikaanse cyberagentschap CISA roept de opsporingsdienst organisaties op om updates voor deze kwetsbaarheden (CVE-2024-3400, CVE-2022-1388, CVE-2019-19781 en CVE-2023-3519) te installeren.

Volgens de FBI zijn de aanvallen het werk van een vanuit Iran opererende groep die het voorzien heeft op onderwijsinstellingen, financiële instellingen, zorginstanties, defensiebedrijven en overheden. Om toegang tot systemen te krijgen maakt de groep gebruik van de eerder genoemde kwetsbaarheden. Vervolgens wordt geprobeerd om het netwerk verder te compromitteren.

De aanvallers installeren het remote access programma AnyDesk als back-up om toegang tot systemen te behouden. Ook wordt Windows PowerShell Web Acces op servers ingeschakeld. Verder maken de aanvallers gebruik van tunnel-tool Ligolo en NGROK voor uitgaande verbindingen. De FBI en CISA adviseren organisaties naast het installeren van updates ook om te kijken of ip-adressen die de aanvallers gebruikten in hun netwerkverkeer voorkomen en op andere Indicators of Compromise te controleren.