Grupa Caramel Tsunami (przedtem SOURGUM) na ogół sprzedaje cyberbroń, zwykle złośliwe oprogramowanie i sposoby wykorzystywania luk w zabezpieczeniach zero-day, w ramach pakietu hakowania jako usługi sprzedawanego agencjom rządowym i innym złośliwym źródłom zagrożenia. Grupa Caramel Tsunami prawdopodobnie używa łańcucha wykorzystywania luk w zabezpieczeniach przeglądarki i systemu Windows, takich jak luki 0-day, do instalowania złośliwego oprogramowania na urządzeniach ofiar. Wykorzystywanie luk w zabezpieczeniach przeglądarek wydaje się być obsługiwane przez jednorazowe adresy URL wysyłane do ofiar w aplikacjach do obsługi wiadomości, takich jak WhatsApp. Złośliwe oprogramowanie instalowane przez grupę Caramel Tsunami to DevilsTongue, złożone, modułowe, wielowątkowe złośliwe oprogramowanie napisane w językach C i C++ z kilkoma nowatorskimi funkcjami.
Państwowa grupa hakerska
Caramel Tsunami
Kraj pochodzenia: Atakowane branże:
Korea Północna Jednostki sektora prywatnego
Politycy
Atakowane kraje:
Obrońcy praw człowieka
Armenia
Dziennikarze
Iran
Pracownicy akademiccy
Izrael
Pracownicy ambasady
Liban
Dysydenci polityczni
Singapur
Hiszpania
Turcja
Zjednoczone Królestwo
Jemen