A Dragos által Chrysene névre keresztelt csoportra (a Symantec Greenbug, a Palo Alto Networks OilRig néven említi őket az elemzéseikben) először 2012-ben, a Saudi Aramco elleni Shamoon támadások vizsgálatakor figyeltek fel a biztonsági kutatók. A Saudi Aramco a 2012-es támadások következtében több tízezer munkaállomását vesztette el átmenetileg, amikor a támadók törölték az érintett számítógépek merevlemezeit.

A Chrysene csoport az elemzők szerint több más csoporttal együttműködve hajtják végre a támadásaikat, ők azok, akik egy adott rendszer kezdeti kompromittálásáért felelősek és amikor kiépítették a későbbi műveletekhez szükséges hátsó ajtókat, akkor a rendszerekben történő további műveleteket átadják más csoportoknak.

A csoport tevékenységének nyomait felfedezték már Irakban, Pakisztánban, Izraelben, Nagy-Britanniában és az Arab öbölben is.

Eszköztárukra jellemzőek a 64-bites malware-ek (amik csak 64-bites operációs rendszereken tudnak futni), valamint az ún. watering hole-támadások. Elsődleges célpontjaik az ICS rendszereket használó szervezetek, de 2017 óta a Dragos megfigyelései szerint újra aktívak és immár nem csak ICS rendszerek kompromittálását próbálják watering hole-támadásokkal elérni.

A csoportról több elemzés is elérhető az alábbi linkeken:
Dragos: https://dragos.com/resource/chrysene/
Symantec: https://www.symantec.com/connect/blogs/greenbug-cyberespionage-group-targeting-middle-east-possible-links-shamoon
Palo Alto Networks Unit 42: https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
Marco Ramili elemzései: https://marcoramilli.com/2019/06/27/similarities-and-differences-between-muddywater-and-apt34/

https://marcoramilli.com/2019/05/02/apt34-glimpse-project/
https://marcoramilli.com/2019/04/23/apt34-webmask-project/