資安業者Mandiant揭露伊朗駭客組織UNC1860，並指出這些駭客疑似隸屬伊朗情報與國家安全部（MOIS），根據他們看到駭客專屬的作案工具，推測這群歹徒可能專為其他網路犯罪組織提供受害組織初始入侵管道（Initial Access Broker，IAB）。

研究人員指出，就攻擊手法與目標而言，UNC1860同於其他伊朗駭客，如Scarred Manticore、Storm-0861、Shrouded Snooper等，主要都是針對中東地區的電信業者及政府機關發動攻擊。但在去年10月資料破壞軟體BabyWiper攻擊行動裡，UNC1860就傳出負責供應受害組織的存取管道，如今研究人員掌握進一步證據，佐證上述的分工情形。

這些駭客起初鎖定曝露於網際網路的伺服器植入名為StayShante的Web Shell，企圖取得受害組織的網路環境初始存取權限，一旦得逞，他們就會部署其他惡意程式，例如：TofuDrv、TofuLoad，來取得進一步的控制權，這些被植入的作案工具比一般的後門程式更為隱密，因為駭客會試圖消除惡意程式對C2基礎設施的依賴，使防守方難以偵測行蹤。

研究人員提及，駭客植入的作案工具採用被動連線的手法，不會直接發出存取C2的流量，另一方面，駭客對惡意程式下達命令的流量，則是透過各種動態的來源，像是VPN節點、其他受害電腦，甚至是受害組織網路環境的另一個網段，導致防禦方監控網路流量變得更加困難。

其中，TofuDrv、TofuLoad都利用了過往未曾發現的輸入及輸出控制命令進行通訊，從而降低被端點資安軟體EDR察覺的機會；另一個被動運作的後門程式TempleDrop，會濫用伊朗防毒軟體Sheed AV的驅動程式元件，避免駭客的作案工具遭到竄改；除此之外，這場攻擊也出現TempleLock、RotPipe等工具的蹤跡，以TempleLock為例，能用來停用Windows事件記錄並抹除作案痕跡。

再者，無論Web Shell還是惡意程式，都使用HTTPS加密連線通訊，研究人員無法從網路流量得知攻擊者下達的命令，或是取得有效酬載。

而在UNC1860成功掌握受害組織網路環境的存取管道後，他們便會透過具備圖形操作介面的惡意軟體控制工具TemplePlay、ViroGreen，為接手從事進一步攻擊行動的駭客，提供以遠端桌面連線（RDP）存取受害組織網路環境的能力。

根據上述的作案工具發現，研究人員指出，突顯這些駭客具備對Windows核心元件的逆向工程技能，以及迴避偵測的能力，因此他們造成的威脅不容小覷。