Det er flere forskjellige APTer involvert, og de har forskjellige metoder. Om Stortinget har blitt angrepet av hafnium gruppen så er det en gruppe som hovedsakelig driver med spionasje og er gruppen som utnyttet exploiten før den ble kjent, det er stor grunn til å tro at denne gruppen har gjort større innsats for å skjule seg i systemene. De første angrepene bærer også preg av å være manuelle og målrettede i følge Microsoft.

Oppførselen til APTene som kom til etter at sårbarheten ble kjent tyder på at de ble tatt litt på sengen og begynte masse-skanning og utnyttelse av sårbarhetene, normalt så sjekker APTer at serveren de angriper ikke er i bruk av en annen APT men det er flere eksempler hvor flere grupper har angrepet de samme serverene.

Min teori er nok at de første angrepene før sårbarheten ble kjent er mye bedre planlagt og motivet er statligspionasje/industrispionasje, de andre gruppene forsøker bare å kapre så mange servere som mulig for å kjøre utpressing i ettertid, enten via ransomware eller datatyveri.

Det blir spennende å se hvordan dette utvikler seg og hvilke data som er på avveie i de berørte organisasjonene.

Her er det en del god informasjon om proxylogon angrepene https://blog.truesec.com/2021/03/07/...n-and-hafnium/