根据安全专家的说法，该行动是由一个被称为White Company的民族国家攻击组织进行的，该组织拥有0 day漏洞及利用开发人员。

来自Cylance发布的新闻稿(press release )表明，

初步调查结果详细介绍了该组织最近开展的一项行动，为期一年的针对巴基斯坦空军（Pakistani Air Force）的间谍活动。Cylance将此行动称为Shaheen，由White Company组织。 该组织为粉饰其活动的所有迹象并逃避归属采取了许多精心策略。

巴基斯坦空军不仅是该国国家安全机构不可分割的一部分(包括其核武器计划)，而且它也是最近宣布的国家网络安全中心的所在地。所以针对这一目标的间谍行动如果成功，可以为一系列外国势力带来重要的战术和战略洞察力。

作为Shaheen行动的一部分，White Company的黑客以巴基斯坦空军的成员为目标，使用鱼叉式网络钓鱼信息，武器化其诱饵文件，文件名参考目标感兴趣的事件、政府文件或新闻文章（比如巴基斯坦空军，巴基斯坦政府，中国驻巴基斯坦军事和顾问等）。

攻击者最初使用链接到受感染网站的网络钓鱼邮件，之后使用受感染的Word文档作为电子邮件的附件。

研究人员发现，在这两种情况下，邮件主题都与目标有关，比如，巴基斯坦空军、巴基斯坦政府以及巴基斯坦的中国军队和顾问。

Cylance发表的报告继续说道，

我们不能准确的说出这些文件的去向，或哪些是成功的。但是，我们可以肯定的是巴基斯坦空军是主要目标。因为文件名中所表达的首要主题，诱饵文件的内容以及军事主题诱饵所采用的特殊性，都体现了这一点。

此外，正如下面所解释的那样，这些诱饵所分发的恶意软件不仅来自合法的、受到感染的巴基斯坦机构的域名，而且这些机构与巴基斯坦军方有明确关系。攻击者使用了常见的策略，使目标可能观察到的任何流量似乎都是良性的。

White Company黑客使用的恶意代码能够躲避主要的防病毒解决方案，包括Sophos，ESET，Kaspersky，BitDefender，Avira，Avast，AVG和Quickheal。

该行动中使用的恶意软件实现了五层不同的加壳技术，将最终的有效载荷置于一系列层中。

对特定攻击者的溯源非常困难，各种各样的民族国家攻击者都有兴趣监视巴基斯坦空军。

该公司总结道，

出于若干原因，Cylance并不准备将攻击或行动归结为特定实体，原则上是这样。在这种情况下，这种方法尤其谨慎。有问题的威胁行为者煞费苦心的逃避归因。他们拼凑了由几个不同的开发人员创建的工具，其中一些开发人员采取措施来掩盖其踪迹。这些努力使得幕后人员的整体情况更加复杂化。

巴基斯坦是一个动荡的、拥有核武器的国家，有着复杂的内部政治历史。他们在地缘政治上的地位使他们成为所有拥有完善网络计划国家（即五眼，中国，俄罗斯，伊朗，朝鲜，以色列）的明显目标，它们也引起了印度和海湾国家等新兴网络大国的关注。

其余细节参见专家发布的报告（report ）。