Facebook a declarat că grupul, supranumit ”Tortoiseshell” de către experţi în securitate, a folosit conturi false pentru a se conecta cu personalul militar american, pentru a le câştiga încrederea, uneori pe parcursul mai multor luni, şi pentru a le conduce pe alte site-uri, infectându-şi dispozitivele cu malware pentru spionaj.
„Această activitate a avut semnele distinctive ale unei operaţiuni cu resurse şi persistente, bazându-se în acelaşi timp pe măsuri de securitate operaţionale relativ puternice, pentru a ascunde cine se află în spatele ei", a declarat echipa de investigaţii a Facebook.
Din primele informații, hackerii din Iran au vizat în principal persoane din Statele Unite, precum şi din Regatul Unit şi Europa, într-o campanie desfăşurată începând cu 2020. De asemenea, Facebook a refuzat să numească companiile ai căror angajaţi au fost vizaţi, dar şeful său pentru spionaj cibernetic, Mike Dvilyanski, a dezvăluit că a notificat ”mai puţin de 200 de persoane” care au fost vizate.