Предполага се, че мотивацията на хакерите е свързана със събиране на информация, свързана с генетични, неврологични и онкологични изследвания, като част от по-обхватна тенденция за събиране на по-ширококоспектърна медицинска информация. Също така е възможно нарушителите да се интересуват от информация за пациенти или от събирането на акаунти за бъдещи phishing кампании. По време на разследването от Proofpoint са установили, че phishing кампанията BadBlood е проведена едновременно с атаки срещу традиционни цели за TA453. Кибер атаките в Израел, също може да са резултат от нарасналото геополитическото напрежение в региона.

Като част от кампанията иранските хакери използвали акаунт в Gmail, принадлежащ на видния израелски физик Даниел Зайфман, бивш президент на Научния институт Вайцман. Чрез него те изпращали phishing имейли, съдържащи фалшива login уеб страница на Microsoft. След като жертвата въведе данните си, кибер престъпниците получавали достъп до документите й в OneDrive.

TA453 са известни още като Phosphorus, Charming Kitten, Ajax Security Team, ITG18, NewsBeef, Newscaster. Групата е активна от 2011 г. и в миналото са били свързани с Иранския ислямистки революционен корпус за охрана (Iranian Revolutionary Guard Corps - IRGC), главно с кибер атаки насочени срещу дисиденти, учени, дипломати и журналисти в Средния Изток, САЩ и Великобритания. Отделът за цифрови престъпления на Microsoft (Microsoft Digital Crimes Unit) посочва, че TA453 е насочена предимно към fishing атаки.

Използвани източници:

https://www.securityweek.com/iranian-hackers-target-medical-personnel-us-israel

https://www.proofpoint.com/us/blog/threat-insight/badblood-ta453-targets-us-and-israeli-medical-research-personnel-credential

https://www.expert.bg/technology/it/izraelski-i-amerikanski-medicinski-centrove-atakuvani-ot-iranski-hakeri-1577636.html