האקרים בשליחות איראן יצרו אתר מזויף שהתחזה לאתר תמיכה בחטופים כדי לבצע תקיפת סייבר נגד מטרות ישראליות, כך טוענים חוקרי חברת מנדיאנט (Mandiant) שבבעלות גוגל. המחקר שפרסמו טוען לזיהוי קבוצה איראנית שתוקפת חברות במגזרי התעופה, החלל והביטחון במדינות במזרח התיכון, בפרט ישראל ובאיחוד האמירויות, וייתכן שגם בטורקיה, הודו ואלבניה.
לפי המחקר, במסגרת התקיפה נעשה שימוש בתוכן שמקושר באופן ישיר למלחמה בין ישראל לחמאס, כולל התחזות לתנועת Bring Them Home Now, הקוראת להשבת החטופים הישראלים משבי החמאס. בין היתר, קבוצת ההאקרים השתמשה באתר שמתחזה ל-Bring Them Home Now כדי להפיץ נוזקה בשם MINIBUS. בעת התקנת הנוזקה מוצגת למשתמש תמונה של מחאה להשבת החטופים, שנועדה ליצור לגיטימיות בעיני המשתמש ולהסוות את הפעילות הזדונית.
בנוסף לתוכן שקשור למלחמה עם חמאס, הקבוצה משתמשת בהצעות עבודה מזויפות כדי להפיץ את הנוזקות שלה, בפרט בתחומי הביטחון והטכנולוגיה. כך, הקבוצה השתמשה באתר שמתחזה לחברת בואינג כדי להפיץ את הנוזקה וכן כדי לגנוב סיסמאות באמצעות עמודי התחברות מזויפים.
הקבוצה אף השתמשה באתר המתחזה לאתר חיפוש עבודה על מנת לאסוף מידע על עובדים בתעשיות רגישות. המחקר מציג כדוגמה מודעה שמציעה לכאורה משרת מהנדס בחברת הטכנולוגיה ויצרנית הרחפנים הסינית DJI, אך בפועל נועדה למשוך מועמדים איכותיים למסור את הפרטים שלהם לידי הקבוצה.
הדוח לא מציין כמה מידע הצליחה הקבוצה האיראנית לאסוף על משתמשים וכמה נפוצה הרוגלה שהקבוצה פיתחה. אך הוא כן מראה היקף פעילות גדול מאוד של הקבוצה, שפיתחה ותחזקה עשרות אתרים מזויפים שנועדו להפיל בפח משתמשים.