ووفقًا لشركة FireEye للأمن السيبرانى، فإن مجموعة التهديد السيبرانى - التى يطلق عليهاAdvanced Persistent Threat 41 (APT41) - فريدة من نوعها من حيث إنها تزيد من البرامج الضارة غير العامة المخصصة عادة لحملات التجسس فيما يبدو أنه نشاط لتحقيق مكاسب شخصية."

وبينما يبدو أن المجموعة كانت نشطة على الأقل منذ عام 2012، إلا أن الكشف العلنى يشير إلى أن دوافعها أصبحت واضحة منذ عام 2014 فصاعدًا، وقد تم ربط APT41 باسم Barium أو Winntiمن قبل شركات أخرى، وقد تم ربطها سابقًا بمجموعة من الهجمات التى استهدفت آسوس وNetSarangو CCleaner فى السنوات الأخيرة.

وأضاف التقرير أن APT41 أطلقت عدة حملات لجمع المعلومات الاستخبارية قبل الأحداث السياسية الحاسمة وقرارات الأعمال الإستراتيجية، مع التركيز على قطاعات مثل الأدوية والرعاية الصحية وتجارة التجزئة والتعليم والعملات الافتراضية، وقامت المجموعة بمطاردة الشركات الموجودة فى 14 دولة على الأقل، بما فى ذلك فرنسا والهند وسنغافورة وكوريا الجنوبية والمملكة المتحدة والولايات المتحدة، ما يعكس الطبيعة العالمية للهجمات.

وبالإضافة إلى ذلك، فإنها تستهدف باستمرار صناعة ألعاب الفيديو - استوديوهات التطوير والناشرين - بشكل مباشر وعبر تنازلات سلسلة التوريد، حتى عندما ابتعدت المجموعة عن سرقة الملكية الفكرية فى عام 2015 عقب اتفاق تاريخى بين الولايات المتحدة الأمريكية وضع حدًا للإنترنت تمكين السرقة لتحقيق مكاسب تجارية.

وتعمل الحملات عن طريق ضخ البرامج الضارة فى برامج ألعاب الفيديو المشروعة من أطراف ثالثة، والتى يتم توزيعها لاحقًا على المنظمات الضحية، وعلاوة على ذلك، استفاد APT41 من مجموعة متنوعة من التكتيكات - التصيد الرمح، مجموعات الأدوات، التقاط بيانات اعتماد الخادم، واستخدام الشهادات الرقمية المخترقة من استوديوهات الألعاب للتوقيع على البرامج الضارة - من أجل الوصول إلى بيئات التطوير وتوزيع الأكواد الضارة.