研究人員發現，這些駭客採用了新的攻擊框架DarkBeatC2，用於架設Tactical RMM的管理控制臺，很有可能藉此對受害電腦部署勒索軟體。

從攻擊者使用的網路釣魚攻擊來看，手法並未出現太多特殊之處，不只誘餌是相當常見的PDF檔案，部分濫用的雲端服務雖然在臺灣多數人並不熟悉，但與先前該組織的攻擊行動所採用的幾乎相同。至於最終用來控制受害電腦的合法遠端管理軟體Atera，也曾在多起攻擊行動出現。但值得留意的是，這些駭客借助其他駭客軟體供應鏈攻擊成果，從而製造來源看似可信的釣魚信。

研究人員提及，上述提及對方針對的教育機構，是以色列軟體業者Rashim的客戶，而另一個組織Lord Nemesis曾對該公司下手，發動供應鏈攻擊，而很有可能取得這些教育機構的相關資料，並提供MuddyWater運用。由於該組人馬是另一個伊斯蘭革命衛隊（IRGC）資助的駭客組織Mint Sandstorm的旗下團體。換言之，這起攻擊行動應該與伊朗當局有所關連。