بر اساس گزارشی که شرکت امنیتی رکوردد فیوچر (Recorded Future) منتشر کرده است، فعالیت تیم هک APT33 که به دولت ایران وابسته است و به نام الفین (Elfin) نیز شناخته می‌شود، به‌شدت افزایش یافته است. این گروه هک پیش از این، در جریان انتشار بدافزار شمعون و حمله‌های خرابکارانه و جاسوسی دیگر از مظنون‌های اصلی بوده است.

شرکت رکوردد فیوچر اعلام کرده است که این تیم از بیش از ۱۲۰۰ دامنه اینترنتی برای کنترل و انتشار بدافزارهایش استفاده می‌کند. بررسی‌ها همچنین نشان داده است برخی اشخاص که پیش‌تر در جریان حمله به چند شرکت سعودی و یک شرکت رسانه‌ای هندی مظنون شناخته شدند به‌نحوی وابسته به این گروه‌اند. 

اکثر حمله‌های این تیم با بدافزاری انجام شده است که امکان دسترسی از راه دور، موسوم RAT یا Remote Access Tools، را دارند.

در ماه مارس، پس از این‌که شرکت سیمانتک (Symantec) از بعضی ابزارها و زیرساخت‌هایی رونمایی کرد که تیم APT33 به کار برده بود، این تیم هک بخش قابل‌توجهی از دامنه‌های خود را روی دامنه‌هایی تازه پارک کرد و فقط برخی از آن‌ها را فعال نگه داشت. 

بخش اعظمی از کاربری بدافزارهایی که APT33 منتشر کرده است برای عملیات‌های کنترل زیرساخت‌ها به کار می‌روند.

به گزارش آرس‌تکنیکا (ArsTechnica)، اغلب عملیات‌ سایبری ایران تحت قراردادهای سلسله‌مراتبی با «موسسه نصر» به انجام می‌رسند، که وابسته به دولت ایران است. گفته می‌شود این موسسه عملا نماینده دولت ایران و سپاه پاسداران جمهوری اسلامی در امور یاد شده است.

بر اساس گزارش گروه تحقیقاتی اینسیکت (Insikt Group)، عملیات‌های یاد‌شده با قرارداد بین ۵۰ سازمان مختلف انجام می‌شوند. در نتیجه، در برخی مواقع، فعالیت‌های گروه اِلفین با سایر گروه‌های هک وابسته به دولت ایران همپوشانی پیدا می‌کند. 

فعالیت‌های این شرکت‌ها تحقیق در خصوص نقاط آسیب‌پذیر، توسعه بدافزار و همچنین شناسایی، نفوذ و حمله به زیرساخت‌های شبکه را شامل می‌شود. به گزارش اینسیکت، هر بخش از این شبکه گسترده هک توانایی‌های مختلفی در تهاجم سایبری دارند که به‌صورت هدفمند و با همکاری و حفاظت سایر گروه‌های هم‌دسته، برای عملیات خرابکارانه یا نفوذ، مشغول فعالیت‌اند.

بر اساس تحقیقات انجام‌شده، «مرکز امنیتی کاوش» از دیگر پیمانکارهای این شبکه هک و از مظنون‌های اصلیِ عملیات جاسوسی علیه زیرساخت‌های الکترونیک ارتش ترکیه است که در ماه مارس سال جاری اتفاق افتاد.

استفاده از بدافزارهای مخفی به این گروه‌ها اجازه می‌دهد از لحاظ فنی، عملیاتشان را به‌صورتی انجام دهند که قابل شناسایی‌ و ردیابی نباشند. بسیاری از این حمله‌ها بر پایه فیشینگ یا ورود به‌زور از مبادی احراز هویت کارکنان مراکز زیرساختی انجام می‌شود و برای رسیدن به هدف از تاکتیک‌های تبهکارانه بهره می‌گیرد. 

گروه اینسیکت در مطلبی اعلام کرده است که کلیه سازمان‌ها و صنایع از جمله صنایع هوایی، نظامی، شرکت‌های تولیدکننده انرژی و غیره که پیش از این مورد حمله یا هدف APT33 بوده‌اند باید توان امنیتی و حفاظتی خود را با تمرکز روی شناسایی و جلوگیری از ورودهای غیرمجاز افزایش دهند. شایان ذکر است که این یادداشت همسو است با بیانیه هشدار‌آمیز سازمان امنیت ملی سایبری و آژانس امنیت زیرساختی (یا CISA) که اخیرا منتشر شد.