Még december 21-én tette közzé a redmondi fenyegetés-felderítő csapat, hogy kiszúrt egy nemzetállam által támogatott bandát, amelyet Peach Sandstromnak nevez, ami a védelmi szektorban dolgozóknak próbálja eljuttatni a (feltehetően Windowsos) kártevőt. "A FalseFont egy egyedi backdoor, amely számos olyan funkcióval rendelkezik, amik lehetővé teszik a használója számára, hogy távolról hozzáférjen egy fertőzött rendszerhez, további fájlokat indítson el és információkat küldjön a C2 szervereinek" - közölte a Microsoft. Először 2023. november elején figyelték meg.
A Mandiant, amely az Irán által támogatott legénységet APT33 néven követi nyomon, azt állítja, hogy stratégiai kiberkémkedés céljából az Egyesült Államokbeli, szaúd-arábiai és dél-koreai cégeket veszi célba, különösen a kereskedelmi és katonai légiközlekedési, valamint a petrolkémiai termeléshez kötődő energetikai szektorban működő vállalatok iránt érdeklődik.
Azonosították az APT33 kártevő programot, amely egy iráni személyhez kötődik, akit kormánya alkalmazhatott ellenfelei elleni kiberfenyegetési tevékenység végzésében, derült ki az októberben frissített riasztásban. Több ezer szervezet ellen gyakori jelszavakat próbáló (password spraying) kísérleteket folytattak, és amikor a támadások sikeresek voltak, a Peach Sandstorm nyilvánosan elérhető és egyedi eszközök kombinációját használta a hálózaton való szimatolásra és az áldozat informatikai rendszerein való oldalirányú mozgásra. Megfigyelték, hogy adatokat is kiszivárogtattak a megtámadott környezetből.