针对上述的攻击行动，研究人员怀疑是资安人员的渗透测试所致，但由于相关的攻击基础设施并未与市面上的渗透测试业者有关，因此他们认为应该向资安社群公布相关发现。

究竟对方如何发起攻击？研究人员在其中2起发生在2023年11月的攻击行动里，发现对方疑似通过特别制作的WordPress网站，散布VHD虚拟磁盘文件格式作为初始的有效酬载，黑客使用偷渡式下载（Drive-by Download）的手法，将VHD档植入受害电脑。

一旦用户将VHD文件挂载，就会在磁区看到Windows捷径文件（LNK），该文件含有看似图片的图标，打开后就会运行设为隐藏属性的HTML应用程序文件（HTA），显示诱饵图片降低用户的戒心，并启动第一阶段的恶意程序。

这个图片内容含有以色列经济及工业局的图标，并以希伯来文写着：假期惊喜！抱歉，你没有赢。

黑客使用的第一个恶意程序是以编程语言Nim打造而成，主要的用途是下载第2阶段的恶意软件，此恶意软件滥用GlobalSign的根凭证文件启动SSL连接，从远程取得恶意文件并在内存内运行。

而第2阶段的恶意酬载是GrassHopper，研究人员指出是结合两种开源的工具而成，文件大小约为15 MB。而这些遭滥用的开源工具组件，分别是Shell Code生成框架Donut，以及渗透测试框架Sliver。

在GrassHopper初始化的阶段，攻击者会进行解码处理及使用API散列值解析功能函数，然后窜改Windows安全防护机制反恶意软件扫描界面（AMSI）及Windows锁定政策（WLDP），阻碍受害电脑安装的杀毒软件运作，最终对应（map）与运行嵌入的酬载。

究竟这起资安事故是攻击行动还是合法的渗透测试？研究人员推测，很有可能是企业组织的渗透测试行为。

他们进一步指出，由于这场攻击行动相当特别，不仅攻击范围相当有限，目标极为明确，而且，只有少量恶意程序文件与之有关，这代表了对方仅进行极少量的入侵尝试，这些现象皆与黑客的攻击行为相当不同。

再加上黑客使用的工具链主要由开源工具组成，仅有初始的HTA文件及Nim下载器为自行开发，并自行架设WordPress网站做为交付有效酬载的管道，但研究人员认为上述攻击内容小型团队就能运行。

不过，若是渗透测试行为，上述揭露的恶意酬载已实际被利用或是散布，却没有任何能直接佐证是资安业者运行渗透测试的证据，再加上佯装成政府机关或是关键基础设施的名义从事相关行为，可能会造成政治局势紧张，并导致不必要的后果。因此，他们也无法完全排除是网络攻击的行为。

但无论实际上是那一种行为，这起资安事故的发生，突显攻击者有许多现成、公开的攻击框架工具可用，使得未来的资安调查及威胁分析工作变得更加困难，成为资安人员将要面临的挑战。