Caramel Tsunami (tidligere SOURGUM) sælger generelt cybervåben, som regel malware og 0-day-sårbarheder, som en del af en hacking-as-a-service-pakke, der sælges til offentlige myndigheder og andre ondsindede aktører. Caramel Tsunami ser ud til at bruge en kæde af browser- og Windows-exploits, herunder 0-day, til at installere malware på offerets computere. Browser-exploits ser ud til at blive serveret via engangswebadresser, der sendes til mål på beskedapplikationer som WhatsApp. Malwaren, som Caramel Tsunami installerer, er DevilsTongue, en kompleks modulær multitrådet malware skrevet i C og C++ med flere nye funktioner.
Nation-stat-aktør
Caramel Tsunami
Oprindelsesland: Brancher, der er målrettet mod:
Nordkorea Enkeltpersoner i den private sektor
Politikere
Lande, der er målrettet mod:
Menneskerettighedsaktivister
Armenien
Journalister
Iran
Akademikere
Israel
Ansatte på ambassaderne
Libanon
Politiske systemkritikere
Singapore
Spanien
Tyrkiet
Storbritannien
Yemen