رصدت بالو ألتو نتوركس، الشركة المتخصصة في تطوير الجيل التالي من الحلول الأمنية، أنشطة خبيثة لعصابة القرصنة الإلكترونية التي تدعى سوفاسي خلال النصف الأول من 2018، واكتشفت الشركة أن هذه العصابة مستمرّة باستهداف العديد من المؤسسات في جميع أنحاء العالم بشكل فاعل مع تركيز أكبر على القطاع الحكومي والهيئات الدبلوماسية وغيرها من المؤسسات الاستراتيجية.وكانت بالو ألتو نتوركس قد اكتشفت في وقت سابق من العام الحالي قيام مجموعة القرصنة الإلكترونية سوفاسي بحملة تجسسية جديدة تستخدم أدوات تُدعى زيبروسي ويتم نشر ملفات البرمجية الخبيثة زيبروسي على شكل هجمات تصيّد احتيالي عبر مستندات مايكروسوفت أوفيس ضارة تحتوي على وحدات ماكرو بالإضافة إلى مرفقات أخرى على شكل ملفات قابلة للتنفيذ. وتتوافق هذه الحملة الثالثة مع حملتي هجوم سابقتين من حيث الأهداف، حيث استهدفت هذه الحملة المؤسسات الحكومية التي تتعامل مع شؤون خارجية، لكن أهداف هذه الحملة تتموضع في مناطق جيوسياسية مختلفة.الاختلاف المثير للاهتمام الذي وجدته بالو ألتو نتوركس في هذه الحملة الجديدة هو أن الهجمات التي تستخدم برمجية زيبروسي الخبيثة تُلقي بشبكة أوسع بكثير داخل المؤسسة المستهدفة. حيث أرسل المهاجمون رسائل بريد إلكتروني تصيّدية إلى عدد أكبر بكثير من الأفراد، كما أن الأفراد المستهدفين لم يتبعوا أي نمط محدد، وتم العثور على عناوين رسائل البريد الإلكتروني لهم بسهولة باستخدام محركات بحث الويب، الأمر الذي يدل على تناقض صارخ مع هجمات القرصنة الأخرى المرتبطة عادة بعصابة سوفاسي حيث لا يتم استهداف أكثر من مجموعة صغيرة من الضحايا داخل مؤسسة واحدة باستخدام نمط هجوم يركز على هدف معين. كما لاحظت شركة بالو ألتو نتوركس حالات أخرى تقوم بها مجموعة سوفاسي باستغلال ميزة تبادل البيانات الديناميكية DDE في برامج أوفيس، وقد تم استغلال هذه الميزة هذه الحالات لإدخال حمولات مختلفة عما تم ملاحظته سابقًا. ففي إحدى الحالات، تم استخدام هجوم DDE لإدخال وتفعيل برمجية زيبروسي الخبيثة. وفي حالة أخرى، تم استخدام هجوم DDE أيضًا لإدخال مجموعة أدوات اختبار الاختراقات الأمنية تُدعى Koadic. ولطالما استفادت عصابة سوفاسي في الماضي من المصادر المفتوحة أو الأدوات المتاحة التي يمكن استغلاها، لكن هذه هي المرة الأولى التي يتم فيها استخدام مجموعة أدوات Koadic. وتقوم عصابة سوفاسي بتنفيذ هجمات متوازية تستهدف من خلالها مواقع متماثلة في جميع أنحاء العالم لكن باستخدام أدوات مختلفة. وقد تم إنشاء أداة زيبروسي، المرتبطة بسلسلة الهجمات الحالية، بأشكال متعددة استنادًا إلى لغة البرمجة التي اختارها المطوّر لإنشاء هذه الأداة. وقد لاحظت بالو ألتو نتوركس استخدام صيغ مختلفة من لغات البرمجة Delphi وAutolt والنسخ المختلفة من لغة ++C، وجميعها مرتبطة ليس فقط في وظائفها، لكن يتم في بعض الأحيان أيضًا ربط الصيغ معًا في هجوم واحد. ولاتزال هذه الهجمات منتشرة بشكل واسع ويتم تنفيذها من خلال حملات التصيّد الاحتيالي، سواءًا عبر ملفات مرفقة بسيطة وقابلة للتنفيذ على أمل أن تقوم الضحية بتشغيل الملف، أو عن طريق استغلال ثغرة تبادل البيانات الديناميكية DDE التي تمت ملاحظتها سابقًا.