En plus des cibles et victimes aux profils particulièrement sensibles, cette opération présente d’autres aspects particulièrement alarmants. Par exemple :

• Des fonctionnalités crypto et anti-détection (le code recherche plusieurs produits de sécurité afin de les éviter : Kaspersky Lab, Sophos, DrWeb, Avira, Crystal, Comodo Dragon)
• Des programmes malicieux puissants
• Les outils utilisés par cette campagne présentent des éléments de structure similaires à ceux des campagnes de cyber espionnage MiniDuke, CosmicDuke et OnionDuke – dont les auteurs pourraient être Russophones selon certains indicateurs.

Fonctionnement : CozyDuke utilise souvent la technique du Spear Phishing en adressant à ses cibles des emails contenant un lien vers un site web infecté – y compris des sites critiques et légitimes comme ‘diplomacy.pl’ – qui héberge une archive ZIP contenant un malware. Dans d’autres cas qui se sont avérés fructueux, CozyDuke a envoyé de fausses vidéos en pièce jointe, contenant des fichiers exécutables malveillants.