Caramel Tsunami (anteriormente SOURGUM) suele vender ciberarmas, normalmente malware y vulnerabilidades de día cero, como parte de un paquete de hacking como servicio vendido a agencias gubernamentales y otros actores maliciosos. Caramel Tsunami parece usar una cadena de vulnerabilidades de seguridad de navegador y Windows, incluyendo de día cero, para instalar malware en los equipos de las víctimas. Las vulnerabilidades de seguridad de navegador parecen servirse a través de URL de un solo uso enviadas a objetivos en aplicaciones de mensajería como WhatsApp. El malware que instala Caramel Tsunami es DevilsTongue, una compleja pieza de malware modular multihilo escrita en C y C++ con varias capacidades novedosas.
Actor de Estado nación
Caramel Tsunami
País de origen: Sectores objetivo:
Corea del Norte Particulares del sector privado
Políticos
Países atacados:
Activistas de derechos humanos
Armenia
Periodistas
Irán
Académicos
Israel
Trabajadores de embajadas
Líbano
Disidentes políticos
Singapur
España
Turquía
Reino Unido
Yemen