Các nhà nghiên cứu của Cybereason (Hoa Kỳ) cho biết “Mục tiêu của tin tặc trong cuộc tấn công là chiếm quyền truy cập và nằm vùng trong hệ thống của nhà cung cấp dịch vụ viễn thông, tạo điều kiện cho hoạt động gián điệp mạng bằng cách thu thập thông tin nhạy cảm, xâm nhập thiết bị kinh doanh quan trọng như máy chủ thanh toán chứa dữ liệu bản ghi chi tiết cuộc gọi, cũng như các thành phần mạng quan trọng như Domain Controller, Web Server và máy chủ Microsoft Exchange”.

Các chuyên gia đã liên kết chiến dịch tấn công với ba nhóm tin tặc Gallium, Naikon APT và TG-3390 của Trung Quốc.  Hoạt động của các nhóm tin tặc này được ghi nhận bắt đầu từ năm 2017, với các cuộc tấn công đầu tiên vào quý 4/2020. Cả ba nhóm tin tặc được cho là vẫn tiếp tục hoạt động đến giữa năm 2021.

Các nhà nghiên cứu đánh giá các nhóm tin tặc này có khả năng thích ứng cao khi nỗ lực theo dõi, bám trụ tại các điểm cuối lây nhiễm, đồng thời thay đổi chiến thuật và cập nhật các biện pháp phòng thủ để xâm nhập và mở backdoor máy chủ email Microsoft Exchange chưa cập nhật bản vá lỗ hổng ProxyLogon.