Il gruppo di hacker iraniano Charming Kitten, noto anche come APT35 o Ajax o Fosforo è attivo dal 2014. Il gruppo di hacker si rivolge principalmente a ricercatori provenienti da Stati Uniti, Medio Oriente e Francia, concentrandosi su ricercatori accademici iraniani, dissidenti iraniani negli Stati Uniti. Il gruppo svolge un ruolo vitale nelle procedure democratiche, tenta di intercettare le elezioni negli Stati Uniti, in Germania e in Francia.
Il gruppo di hacker utilizza un metodo di spear phishing come vettore di attacco principale, insieme al metodo di phishing il gruppo tenta di impersonare sui social media come Facebook, Twitter e Instagram per fornire collegamenti nocivi.
I ricercatori di ClearSky hanno osservato molteplici ondate di una campagna di phishing, una con un collegamento a Google Drive:
hxxps://sites.google[.]com/view/cubqzpmuxra5bjxu7q2jxcxnhkldpa/drive/
hxxps://sites.google[.]com/screenshot-sharing-service/drive/