在8月初接連攻擊云通訊巨頭Twilio和云服務商Cloudflare后，攻擊者逐漸浮出水面。網絡安全公司Group-IB指出，該組織在數月內瘋狂入侵了130多家機構，盜取了近1萬名員工的憑證。

Group-IB將該攻擊組織追蹤為0ktapus，該組織主要攻擊使用Okta單點登錄服務的企業。

Group-IB在一名客戶受到網絡釣魚攻擊后開展調查，結果顯示，自3月以來，其至少竊取了9931個用戶證書，其中超過一半包含用于訪問公司網絡的多因素認證碼。

Group-IB高級威脅情報分析師Roberto Martinez向媒體表示，“在許多情況下，有一些特定的圖像、字體或腳本，可以用來識別用使用同一套釣魚工具設計的釣魚網站。"在這種情況下，我們發現了一個被釣魚的使用Okta認證的網站。”

“這些攻擊案例很有意思，盡管它的技術含量低，但它還是能夠危害大量知名組織，”Group-IB表示，“一旦攻擊者入侵了一個組織，他們就能夠迅速轉向并發起后續的供應鏈攻擊，這表明攻擊是經過事先精心策劃的。”

據信，0ktapus至少定制了 169 個域用于網絡釣魚，這些網站通過使用以前未記錄的網絡釣魚工具包進行聯合攻擊。受害組織主要位于美國（114 個）、印度（4 個）、加拿大（3 個）、法國（2 個）、瑞典（2 個）和澳大利亞（1個） 等，分布在通訊、商業服務、金融、教育、零售、物流等行業。

雖然目前還不清楚攻擊者是如何獲得電話號碼和員工姓名并發送短信釣魚消息，Group-IB指出，攻擊者首先以移動運營商和電信公司為目標，”可能從最初的攻擊中收集到這些號碼。”

該組織的最終目標仍不清楚，可能是間諜活動和經濟動機，攻擊者可以訪問機密數據、知識產權、公司收件箱以及虹吸資金。最重要的是，入侵 Signal 帳戶意味著，攻擊者還試圖獲取私人對話和其他敏感數據。