שני קמפיינים זדוניים בוצעו למטרות ריגול סייבר ע"י קבוצת התקיפה OilRig, המיוחסת לאיראן. הקבוצה אספה מארגונים ישראליים מידע כמו פרטי הזדהות והתחברות למערכות, קבצי קוקיז, היסטוריית גלישה וסיסמאות מהדפדפנים, כפי שעולה ממחקר של חברת אבטחת המידע ESET, שממצאיו הותרו לפרסום הערב (חמישי). בנוסף לאיתור וזיהוי ערכת כלים זדונית, הודיעה החברה למערך הסייבר הישראלי על האתרים שנפגעו.
בשני הקמפיינים, Outer Space משנת 2021 ו-Juicy Mix מ-2022, שבוצעו למטרות ריגול סייבר, נעשה שימוש באותם דפוסי פעולה; הקבוצה האיראנית פרצה לאתר לגיטימי, עשתה בו שימוש כשרת C&C (שרת שממנו שולטים על הקורבן) וניצלה חולשת backdoor שלא נצפתה בעבר. לאחר מכן ביצעה שימוש במגוון כלי תקיפה, המשמשים לאיסוף מידע מאותן מערכות.
בקמפיין הראשון השתמשה הקבוצה האיראנית בפרצה, הדלת האחורית שלא תועדה בעבר, אותה כינו החוקרים בשם Solar. יחד עם קובץ מערכת שנקרא SampleCheck5000 (SC5k), המשמש שרתי Microsoft Exchange לתקשורת של שרת ה-C&C באמצעות API. ב-Solar, ניתן בין היתר להשתמש להורדה, לחילוץ ולהרצה אוטומטית של קבצים. לפני השימוש בה, השתמשה הקבוצה האיראנית בשרת אינטרנט של חברת משאבי אנוש ישראלית כשרת השליטה על הקורבן.
בקמפיין הזדוני השני, קבוצת התקיפה כבר שיפרה את "הדלת האחורית" שלה, כדי ליצור עוד אחת, לה החוקרים קראו "מנגו" - עם שיטות ערפול קוד המקשות על זיהוי וכן יכולות נוספות. שתי הדלתות נפרסו על ידי התקנת סקריפט (VBScript), שפה המשמשת לתכנות אתרי אינטרנט המבוססים על הטכנולוגיה של מיקרוסופט, וככל הנראה הופצה באמצעות הודעות מייל, שכוללות פישינג ממוקד.
בדלת השנייה היכולות אומנם היו חופפות, אבל החוקרים זיהו שינויים טכניים בולטים כמו טכניקת התחמקות מתקדמת, שלא הייתה בשימוש ב-Solar. "מטרת הטכניקה הזו היא למנוע מפתרונות האבטחה בתחנות הקצה, לבחון לעומק את הפעולות שהקובץ החשוד מבצע. אומנם הפרמטר לא היה בשימוש בדגימה שניתחנו, אך ניתן יהיה להפעיל אותו בגרסאות עתידיות", מציינת זוזנה הרומקובה, אחת מהחוקרים שניתחו את הקמפיינים.
קבוצת OilRig, הידועה גם בשמות APT34, Lyceum או Siamesekitten, היא קבוצת ריגול סייבר שפעילה לפחות מאז 2014, ומקובל להאמין שבסיס פעילותה באיראן. היא מכוונת בעיקר לממשלות במזרח התיכון ולמגוון רחב של ענפים, כולל כימיקלים, אנרגיה, פיננסים ותקשורת.