Caramel Tsunami (trước đây là SOURGUM) thường bán vũ khí mạng, chủ yếu là phần mềm xấu và khai thác lỗ hổng ngày 0, như một phần của gói dịch vụ tấn công mà chúng bán cho các cơ quan chính phủ và những đối tượng xấu khác. Caramel Tsunami dường như sử dụng một chuỗi yếu tố khai thác trình duyệt và Windows, bao gồm cả lỗ hổng ngày 0, để cài đặt phần mềm xấu trên thiết bị của nạn nhân. Có vẻ như yếu tố khai thác trình duyệt được phân phối qua các URL sử dụng một lần được gửi đến mục tiêu thông qua các ứng dụng nhắn tin như WhatsApp. Phần mềm xấu mà Caramel Tsunami cài đặt là DevilsTongue, một phần mềm xấu đa luồng dạng mô-đun phức tạp được lập trình bằng C và C++ và có một số chức năng mới.
Đối tượng nhà nước
Caramel Tsunami
Quốc gia xuất xứ: Các ngành bị nhắm mục tiêu:
Triều Tiên Các cá nhân thuộc khu vực tư nhân
Nhà chính trị
Các quốc gia bị nhắm mục tiêu:
Nhà hoạt động nhân quyền
Armenia
Nhà báo
Iran
Viện sĩ
Israel
Nhân viên đại sứ quán
Li-băng
Đối tượng chống đối chính trị
Singapore
Tây Ban Nha
Thổ Nhĩ Kỳ
Vương quốc Anh
Yemen