Microsoft heeft middels een gerechtelijk bevel van een Amerikaanse rechter meer dan 50 domeinen van een groep aanvallers offline laten halen. Volgens Microsoft gaat het om een groep aanvallers die vermoedelijk uit Noord-Korea opereert en spearphishingmails naar slachtoffers verstuurde.

In de berichten werden slachtoffers verleid om een link te openen en hun inloggegevens op een phishingsite in te voeren. De groep maakte daarbij gebruik van domeinen die van Microsoft afkomstig leken. In werkelijkheid ging het om domeinen die niet met een m begonnen, maar met een r en n. De combinatie 'rn' lijkt op een m.

Zodra de aanvallers toegang tot een e-mailaccount hadden gekregen stelden ze een regel in waardoor alle berichten naar een e-mailadres van de aanvallers werd doorgestuurd. Op deze manier bleven de aanvallers berichten ontvangen ook al had het slachtoffer zijn wachtwoord aangepast. Naast het stelen van inloggegevens verspreidde de groep ook malware.

De groep had het voorzien op ambtenaren, denktanks, universiteitsmedewerkers, mensenrechtenorganisaties en personen die zich met nucleaire proliferatie bezighouden. De meeste doelen bevonden zich in de Verenigde Staten, gevolgd door Japan en Zuid-Korea. In de aankondiging over de actie tegen de groep meldt Microsoft verder dat het eerder domeinen van groepen uit China, Iran en Rusland uit de lucht heeft gehaald.