Skupina Caramel Tsunami (predtým SOURGUM) spravidla predáva kybernetické zbrane, zvyčajne malvér a exploity typu zero-day, ako súčasť balíka hacking ako služba, ktorý sa predáva vládnym agentúram a iným škodlivým subjektom. Zdá sa, že skupina Caramel Tsunami využíva na inštaláciu škodlivého softvéru do zariadení obetí reťazec exploitov prehliadača a systému Windows vrátane zero-day. Zdá sa, že exploity prehliadača sa doručujú prostredníctvom jednorazových URL adries odoslaných cieľom v aplikáciách na zasielanie správ, ako je napríklad WhatsApp. Malvér, ktorý skupina Caramel Tsunami inštaluje, je DevilsTongue, komplexný modulárny viacvláknový malvér napísaný v jazykoch C a C++ s niekoľkými novými schopnosťami.
Aktér na národnej úrovni
Caramel Tsunami
Krajina pôvodu: Zacielené odvetvia:
Severná Kórea Jednotlivci zo súkromného sektora
Politici
Zacielené krajiny:
Ľudskoprávni aktivisti
Arménsko
Novinári
Irán
Akademici
Izrael
Zamestnanci veľvyslanectva
Libanon
Politickí disidenti
Singapur
Španielsko
Turecko
Spojené kráľovstvo
Jemen