「これらの攻撃で使われたC2サーバーも分析してみました。レジストラントのデータに基づき、同じ日に登録された50のドメインを発見しました。これらのドメインのなかには、すでにマルウェアの拡散に使用されたものもあります。フィッシングキャンペーンには別のグループも関連していました・・・私たちが集めたサンプルの中で検索してみたところ、攻撃のサンプルと同じC2サーバーを使用する.XLSXサンプルがいくつか見つかりました。これらは以前からあるもので、違う脆弱性を使用します。どちらのサンプル群も、同一の攻撃者グループによるものと考えられます」らしい。