Tehdit gruplarının çalışma yöntemlerindeki bu değişiklik, genel olarak kurumların BT altyapılarının, daha ucuz saldırı araçlarına sahip saldırganların bile hedeflerine ulaşmasına yetecek kadar zayıf olduğunu gösteriyor. Kaspersky Lab uzmanları tarafından araştırılan Microcin adlı bir zararlı saldırı, ucuz fakat tehlikeli saldırıların güzel bir örneği oldu.

Her şey, Kaspersky Anti Targeted Attack Platformu’nun (KATA) şüpheli bir RTF dosyası keşfetmesiyle başladı. Dosyada, Microsoft Office'te bulunan ve yamayla kapatıldığı bilinen açıktan faydalanan bir yazılım (sık kullanılan yazılımlardaki güvenlik zayıflıklarından faydalanarak ek zararlı bileşenler kuran zararlı yazılım) bulunuyordu. Sıradan siber suçluların, kurbanlara zarar vermek amacıyla çok yaygın zararlı yazılımlarla bilinen zayıflıklardan faydalanması nadir görülen bir durum değil. Ancak daha detaylı bir araştırma yapıldığında, bahsi geçen RTF dosyasının büyük bir zararlı yazılım dalgasının parçası değil, çok daha gelişmiş ve hedefli bir saldırıya dahil olduğu anlaşıldı.

Şüphe uyandıran bu hedef odaklı kimlik avı belgesi yalnızca belirli bir grup insana yönelik sitelerden yayılıyordu. Bu siteler, Rusya ve komşu ülkelerde genellikle devlet ve ordu kurumlarında çalışanlara sunulan, devlet destekli konut satın alma imkânı ile ilgili konuların tartışıldığı forum siteleriydi.

Açıktan faydalanıldığında, modüler yapıya sahip bir zararlı yazılım hedef bilgisayara yükleniyordu. Modüllerin kurulumu ise iexplore.exe'ye bulaştırılan bir zararlı yazılım üzerinden yapılıyor, Bu modülün otomatik çalışması ise dll-hijacking yöntemiyle gerçekleştiriliyordu. Her ikisi de bilinen ve sıkça kullanılan zararlı tekniklerdi.