โดยทั่วไปแล้ว Caramel Tsunami (เดิมชื่อ SOURGUM) จะขายอาวุธไซเบอร์ ซึ่งมักเป็นมัลแวร์และการเจาะระบบผ่านช่องโหว่แบบ Zero-day โดยเป็นส่วนหนึ่งของแพคเกจการให้บริการแฮ็กที่ขายให้กับหน่วยงานรัฐบาลและผู้ไม่ประสงค์ดีรายอื่นๆ ดูเหมือนว่า Caramel Tsunami จะใช้เครือข่ายเบราว์เซอร์และการเจาะระบบ Windows รวมถึงช่องโหว่แบบ 0-day ในการติดตั้งมัลแวร์บนระบบของเหยื่อ ดูเหมือนว่าการเจาะระบบเบราว์เซอร์จะให้บริการผ่าน URL แบบใช้ครั้งเดียวที่ส่งไปยังเป้าหมายในแอปพลิเคชันการส่งข้อความ เช่น WhatsApp มัลแวร์ Caramel Tsunami ที่ติดตั้งคือ DevilsTongue ซึ่งเป็นมัลแวร์มัลติเธรดแบบแยกส่วนที่ซับซ้อนซึ่งเขียนด้วยภาษา C และ C++ พร้อมความสามารถใหม่หลายประการ
ผู้โจมตีที่กำกับโดยรัฐ
Caramel Tsunami
ประเทศต้นกำเนิด: อุตสาหกรรมที่ตกเป็นเป้าหมาย:
เกาหลีเหนือ บุคคลภาคเอกชน
นักการเมือง
ประเทศที่ตกเป็นเป้าหมาย:
นักเคลื่อนไหวด้านสิทธิมนุษยชน
อาร์เมเนีย
นักข่าว
อิหร่าน
นักวิชาการ
อิสราเอล
พนักงานสถานทูต
เลบานอน
ผู้ไม่เห็นด้วยทางการเมือง
สิงคโปร์
สเปน
ตุรกี
สหราชอาณาจักร
เยเมน