2019년과 2020년 이스라엘 정부와 기술 회사의 컴퓨터가 해킹되자 수사관들은 누구의 소행인지 알아내기 위해 단서를 추적했다. 첫 번째 증거는 이스라엘의 가장 논쟁적인 지정학적 경쟁자, 이란을 직접 가리키고 있었다. 해커들은 가령 페르시아어로 만들어진 프로그램 등 주로 이란과 연관된 툴을 사용했다.

그러나 중동 전역의 다른 사이버 첩보 사건에서 수집한 정보와 증거를 추가로 검토한 결과, 분석가들은 이 사건이 이란의 소행이 아니라는 것을 알게 되었다. 사실은 이는 테헤란 해커팀으로 가장한 중국 요원들이 벌인 작전이었다.

해커들은 이스라엘 정부, 기술 회사 및 통신 회사를 성공적으로 공략했으며, 위장술을 써서 분석가들이 이스라엘 지역의 적국을 범인으로 오인하도록 유도했다.

이스라엘군과 협력하고 있는 미국 사이버 보안업체 파이어아이(FireEye)의 이번 연구는 해커들의 실패한 속임수를 폭로하고, 그들이 다른 데 책임을 전가하기 위해 사용했던 기술들을 설명한다.

그들의 전술은 ‘이란’이라는 단어가 포함된 파일 경로를 사용하는 등, 자신이 이란 간첩임을 직접적으로 암시하는 방식이 대부분이었다고 이 연구 논문은 밝혔다. 그러나 해커들은 손상된 컴퓨터에 남겨지는 포렌식 증거를 최소화하고, 이스라엘 컴퓨터에 침입하기 위해 사용했던 인프라를 은폐함으로써 그들의 실제 신원을 감추기 위해 노력하기도 했다.