파이어아이는 국가의 후원을 받는 공격 그룹에 의한 소행일 것이라고 추측했다. 또 타깃에 대한 정보 수집 후 보다 정교한 공격 수단을 이용해 공격 성공률을 높일 수 있다는 점에서 위협적이라고 전했다.
공격 그룹은 합법적인 홈페이지의 HTML 코드를 변형시켜 사용자가 해당 웹사이트에 방문하면 프로파일링 스트립트, 즉, ‘위치코븐’ 스트립트가 호스팅되는 웹사이트로 리다이렉트 하는 워터링홀 수법을 이용했다. 파이어아이는 현재 감염된 웹사이트가 100개 이상인 것으로 추정된다.
위치코븐은 사용자 모르게 백그라운드에서 실행돼 방문자의 컴퓨터 및 브라우저 정보를 파악한 뒤 지속적으로 사용자 정보를 트래킹하는 ‘슈퍼쿠키(Supercookie)’라는 웹툴을 사용자 컴퓨터에 심었다. 슈퍼쿠키는 사용자 컴퓨터 내 여러 개의 스토리지에 쿠키를 생성하고, 삭제된 쿠키를 재생성 해 지속성을 확보하는 오픈소스 웹툴이다. 파이어아이는 이달 초, 총 14개의 웹사이트가 위치코븐 스크립트를 호스팅하고 있는 것을 탐지했다.