Caramel Tsunami (voorheen SOURGUM) verkoopt in het algemeen cyberwapens, meestal malware en zero-day-bedreigingen, als onderdeel van een pakket 'hacken als een dienst'. Dit pakket wordt verkocht aan overheidsinstellingen en andere kwaadaardige actoren. Caramel Tsunami lijkt een keten van browser- en Windows-aanvallen te gebruiken (inclusief zero-day) om malware te installeren bij slachtoffers. Browseraanvallen worden waarschijnlijk uitgevoerd via eenmalig te gebruiken URL's die worden verzonden naar doelwitten via berichtentoepassingen zoals WhatsApp. De malware die Caramel Tsunami installeert is DevilsTongue. Dit is complexe, modulaire malware met meerdere threads die is geschreven in C en C++ met verschillende nieuwe mogelijkheden.
Nation-state actor
Caramel Tsunami
Land van herkomst: Aangevallen branches:
Noord-Korea Individuen in de private sector
Politici
Aangevallen landen:
Mensenrechtenactivisten
Armenië
Journalisten
Iran
Academici
Israël
Ambassadepersoneel
Libanon
Politieke dissidenten
Singapore
Spanje
Turkije
Verenigd Koninkrijk
Jemen