Caramel Tsunami (in precedenza SOURGUM) in genere vende armi informatiche, di solito malware ed exploit zero-day, come parte di un pacchetto hacking-as-a-service venduto ad agenzie governative e altri attori di minacce. Caramel Tsunami sembra usare una catena di exploit browser e Windows, tra cui zero-day, per installare malware sui dispositivi delle vittime. A quanto risulta, gli exploit browser vengono serviti tramite URL monouso inviati ai target tramite applicazioni di messaggistica come WhatsApp. Caramel Tsunami installa DevilsTongue, un complesso malware multi-thread modulare scritto in C e C++ con diverse nuove capacità.
Attore stato-nazione
Caramel Tsunami
Paese di origine: Settori mirati:
Corea del Nord Soggetti privati
Politici
Paesi mirati:
Attivisti dei diritti umani
Armenia
Giornalisti
Iran
Accademici
Israele
Dipendenti di ambasciate
Libano
Dissidenti politici
Singapore
Spagna
Turchia
Regno Unito
Yemen