یک گروه تهدید حمایت‌شده توسط دولت ایران مسئول نفوذ سایبری طولانی‌مدت علیه زیرساخت‌های حیاتی ملی در خاورمیانه شناسایی شد که نزدیک به دو سال به طول انجامید. این فعالیت از مه ۲۰۲۳ تا فوریه ۲۰۲۵ ادامه داشت و شامل عملیات جاسوسی گسترده و آماده‌سازی شبکه برای دسترسی مداوم آینده بود. این حمله با گروه تهدید ایرانی شناخته‌شده به نام Lemon Sandstorm (سابقاً Rubidium) که از سال ۲۰۱۷ فعال است، شباهت‌هایی دارد.

حمله در چهار مرحله از مه ۲۰۲۳ آغاز شد و شامل استفاده از اعتبارنامه‌های سرقتی برای دسترسی به سیستم SSL VPN، نصب وب‌شل‌ها و بک‌دورهای مختلف مانند Havoc، HanifNet و NeoExpressRAT بود. مهاجمان از آسیب‌پذیری‌های شناخته‌شده در VPN و حملات فیشینگ هدفمند علیه ۱۱ کارمند برای سرقت اعتبارنامه‌های Microsoft 365 استفاده کردند. هدف اصلی مهاجمان شبکه فناوری عملیاتی (OT) محدود قربانی بود، اگرچه مدرکی از نفوذ موفق به این شبکه وجود ندارد.