资安业者Mandiant揭露伊朗黑客组织UNC1860，并指出这些黑客疑似隶属伊朗情报与国家安全部（MOIS），根据他们看到黑客专属的作案工具，推测这群歹徒可能专为其他网络犯罪组织提供受害组织初始入侵管道（Initial Access Broker，IAB）。

研究人员指出，就攻击手法与目标而言，UNC1860同于其他伊朗黑客，如Scarred Manticore、Storm-0861、Shrouded Snooper等，主要都是针对中东地区的电信业者及政府机关发动攻击。但在去年10月数据破坏软件BabyWiper攻击行动里，UNC1860就传出负责供应受害组织的存取管道，如今研究人员掌握进一步证据，佐证上述的分工情形。

这些黑客起初锁定曝露于互联网的服务器植入名为StayShante的Web Shell，企图取得受害组织的网络环境初始存取权限，一旦得逞，他们就会部署其他恶意程序，例如：TofuDrv、TofuLoad，来取得进一步的控制权，这些被植入的作案工具比一般的后门程序更为隐密，因为黑客会试图消除恶意程序对C2基础设施的依赖，使防守方难以侦测行踪。

研究人员提及，黑客植入的作案工具采用被动连接的手法，不会直接发出存取C2的流量，另一方面，黑客对恶意程序下达命令的流量，则是通过各种动态的来源，像是VPN节点、其他受害电脑，甚至是受害组织网络环境的另一个网段，导致防御方监控网络流量变得更加困难。

其中，TofuDrv、TofuLoad都利用了过往未曾发现的输入及输出控制命令进行通信，从而降低被端点资安软件EDR察觉的机会；另一个被动运作的后门程序TempleDrop，会滥用伊朗杀毒软件Sheed AV的驱动程序组件，避免黑客的作案工具遭到窜改；除此之外，这场攻击也出现TempleLock、RotPipe等工具的踪迹，以TempleLock为例，能用来停用Windows事件记录并抹除作案痕迹。

再者，无论Web Shell还是恶意程序，都使用HTTPS加密连接通信，研究人员无法从网络流量得知攻击者下达的命令，或是取得有效酬载。

而在UNC1860成功掌握受害组织网络环境的存取管道后，他们便会通过具备图形操作界面的恶意软件控制工具TemplePlay、ViroGreen，为接手从事进一步攻击行动的黑客，提供以远程桌面连接（RDP）存取受害组织网络环境的能力。

根据上述的作案工具发现，研究人员指出，突显这些黑客具备对Windows内核组件的逆向工程技能，以及回避侦测的能力，因此他们造成的威胁不容小觑。