اكتشف فريق البحوث الأمنية بكاسبرسكي لاب تفاصيل جديدة تتعلق بـIcefog، وهي مجموعة صغيرة تعمل في مجال التهديدات المطورة المستمرة وتركز على أهداف في كوريا الجنوبية واليابان، تصيب سلسلة الإمداد للشركات الغربية. وبدأت الحملة في 2011 وتوسعت خلال السنوات الفائتة. أما Icefog، الذي يعرف أيضا باسم "Dagger Panda" بحسب اتفاقية Crowdstrike للتسمية، فقد قام بإصابة أهداف في كوريا الجنوبية واليابان تحديدا. وتستغرق الهجمة عدة أيام أو أسابيع في العادة، وعندما يحصل المهاجمون على مبتغاهم، يغادرون. بحسب كاسبرسكي لاب، فإن طبيعة "اضرب واهرب" التي يتميز بها هجمات Icefog تبين أن هناك نزعة جديدة بدأت بالظهور: عصابات صغيرة من نوع "اضرب واهرب" تبحث عن المعلومات بدقة.  ومنذ أن تم وصف حملة Icefog لأول مرة في سبتمبر 2013، غاب مهاجمو Icefog عن الساحة وقاموا بإغلاق جميع خوادم الأوامر والمراقبة. إلا أن المتابعة المتواصلة للحملة دلت الخبراء على وجود رابط بين Java وIcefog، ليشار إليه فيما بعد بـJavafog، مكتشفين جيلا جديدا من برامج backdoor المستخدمة من قبل المهاجمين.

وقال فيتالي كامليوك، رئيس خبراء البرمجيات الخبيثة في شركة كاسبرسكي لاب، في هذا الشأن: "لا يسعنا إلا أن نفترض أنه بفضل الخبرة، وجد المهاجمون أن برنامج Java من طراز backdoor يصعب اكتشافه، ما يجعله مفضلا بالنسبة لهم في إجراء العمليات طويلة الأمد في حين أن العمليات السابقة لـIcefog كان قصيرة للغاية وتتميزا بطبيعة "اضرب واهرب". إن التركيز على أهداف أمريكية بواسطة Javafog المعروف يشير إلى طابع "أمريكي" خاص للحملة؛ وقد وضع في الحسبان أن تستغرق الحملة وقتا أطول من العادة لتسمح، على سبيل المثال، بجمع المعلومات لفترة أطول، وهذا يدل على البعد الجديد لحملات Icefog التي تبدو أكثر تنوعا الآن".

وفي تقارير سابقة، أقر الباحون أنه انطلاقا من قائمة عنواين IP المستخدمة في مراقبة البنية التحتية، فإن بعض المهاجمين المشاركين في الحملة تركزوا في 3 بلدان على الأقل: الصين، كوريا الجنوبية واليابان.