رصدت شركة بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي من الحلولل الأمنية، في الفترة الواقعة بين مايو ويونيو 2019 أدوات هجومية غير معروفة سابقاً جرى استخدامها في شن هجمات إلكترونية استهدفت شركات شحن ونقل في الكويت. واستهدف أول هجوم معروف في سياق هذه الحملة إحدى شركات الشحن والنقل الكويتية، وتخلله قيام الجهات المعادية بتثبيت أداة للتسلل الخلفي تدعى "هيسوكا" Hisoka. وتلا ذلك تنزيل عدة أدوات مخصصة على النظام بهدف تنفيذ أنشطة لاحقة لعملية الاختراق. ويظهر أن جميع الأدوات الهجومية قد تم برمجتها من قبل المطور ذاته. وتمكنت بالو ألتو نتوركس من جمع العديد من الإصدارات المشابهة لتلك الأدوات بما فيها أداة تعود إلى يوليو 2018.
وقد قام مطور هذه الأدوات المرصودة باستخدام أسماء شخصيات كرتونية من سلسلة الأنيمي "هانتر إكس هانتر"، والتي استند إليها في تسمية الحملة "إكس هانت" “xHunt”. وتشمل أسماء الأدوات المستخدمة أدوات تسلل خلفي تدعى "ساكابوتا" و"هيسوكا" و"نتيرو" و"كيلوا". ولا تعتمد هذه الأدوات على بروتكول نقل النص الفائق HTTP لفتح قنوات التواصل مع الخوادم الهجومية وحسب، بل تستخدم كذلك رسائل البريد الإلكتروني وخوادم أسماء النطاق DNS لأجل فتح قنوات التواصل مع الخوادم المؤازرة للهجوم. وفي حين أن استخدام خوادم أسماء النطاق هو أمر شائع إلى حد ما، إلا أن الطريقة المحددة التي استخدمتها الجماعة في استغلال البريد الإلكتروني للتراسل مع الخوادم الهجومية هو أمر لم تلحظه بالو ألتو نتوركس منذ وقت طويل. حيث تستغل هذه الطريقة خدمات ويب إكستشينج وكلمات مرور مسروقة لإنشاء مسودة رسائل بريد إلكتروني لأجل التواصل بين الجهة المعادية وأدواتها الهجومية.
وإضافة إلى أدوات التسلل الخلفي المذكورة، تمكنت بالو ألتو نتوركس من رصد أدوات أخرى يشار إليها بأسماء "جون"Gon و"آي" EYE، والتي تمهد للجماعة التسلل والدخول واكتساب القدرة على تنفيذ أنشطة لاحقة للاختراق.
وبعد إجراء تحليل مقارن، تمكنت بالو ألتو نتوركس من رصد أنشطة مشابهة استهدفت الكويت أيضًا في الفترة بين يوليو وديسمبر 2018، والتي جرى الإشارة إليها ضمن تقرير آي بي إم إكس فورس آيريس. وبينما لا توجد مؤشرات تدلل على تقاطع مباشر بين البنى التحتية المستخدمة في شن الحملتين الهجوميتين، إلا أن تحليل الهجمات يظهر بأن الأنشطة الهجومية الواقعة في 2018 و2019 مترابطة على الأغلب فيما بينها.