O Caramel Tsunami (anteriormente SOURGUM) geralmente vende armas cibernéticas, malware e explorações de dia zero, como parte de um pacote de hacking como serviço vendido a agências governamentais e outros atores mal-intencionados. O Caramel Tsunami parece usar uma cadeia de explorações do navegador e do Windows, incluindo dias zero, para instalar malware nas caixas de entrada das vítimas. Os exploits de navegador parecem ser fornecidos por meio de URLs de uso único enviados a alvos em aplicativos de mensagens, como o WhatsApp. O malware que o Caramel Tsunami instala é o DevilsTongue, um malware modular complexo e multithread escrito em C e C++ com vários recursos novos.
Ator de estado-nação
Caramel Tsunami
País de origem: Setores visados:
Coreia do Norte Pessoas do setor privado
Políticos
Países visados:
Ativistas de direitos humanos
Armênia
Jornalistas
Irã
Acadêmicos
Israel
Funcionários da embaixada
Líbano
Dissidentes políticos
Singapura
Espanha
Turquia
Reino Unido
Iêmen