Moses Staff se présente comme un groupe menaçant anti-israélien et pro-palestinien dans le but principal d’intimider et de perturber les entreprises israéliennes. L’analyse indique que le personnage d’Abraham Ax est utilisé en tandem pour attaquer les ministères du gouvernement en Arabie Saoudite. Cela s’explique probablement par le rôle de leader qu’occupe l’Arabie saoudite dans l’amélioration des relations entre Israël et les pays arabes. Ces deux personnages sont en outre liés à COBALT SAPLING.

Le CTU a été témoin de l’émergence d’Abraham Ax en novembre 2022, et bien qu’il ne s’agisse pas d’un remplacement direct de Moses Staff, elle présente des similitudes frappantes dans son iconographie, sa vidéographie et ses sites de fuite. Les logos des deux groupes représentent des images similaires, avec le logo Abraham Ax montrant un poing fermé étendu d’une manche tenant une hache, tandis que Moses Staff montre un poing fermé tenant un bâton. Abraham Ax et Moses Staff utilisent également un blog WordPress comme base pour leurs sites de fuite, y compris des citations religieuses sur leur site. Les groupes ont également produit et diffusé des vidéos dans le cadre de leurs opérations, avec une répétition claire de l’iconographie entre les deux groupes.

Sur la base des similitudes avec Moses Staff, il est plausible que les acteurs de la menace derrière Abraham Ax utilisent le même logiciel malveillant personnalisé qui agit comme un malware de chiffrement, en chiffrant les données sans émettre d’offre et en fournissant des clés en échange d’un paiement. Le groupe dissimule son intention derrière des tactiques de style criminel et hacktiviste, mais opère sans but lucratif clair ; les attaques semblant être politiquement motivées et axées sur la perturbation et l’intimidation.

« Il y a des motivations politiques claires derrière ce groupe avec des opérations d’information visant à déstabiliser les relations délicates israélo-saoudiennes, d’autant plus que l’Arabie saoudite poursuit les pourparlers avec Israël sur la normalisation des relations », a commenté Rafe Pilling, chercheur principal au sein de Secureworks Counter Threat Unit™. « L’Iran a l’habitude d’utiliser des groupes mandataires et des personnages fabriqués pour cibler des adversaires régionaux et internationaux. Au cours des deux dernières années, un nombre croissant de personnalités de groupes criminels et hacktivistes ont émergé pour cibler des ennemis présumés de l’Iran tout en fournissant un désengagement crédible au gouvernement iranien concernant l’association ou la responsabilité de ces attaques. Cette tendance devrait se poursuivre. »