A Covellite néven hivatkozott (a név a Dragos-tól származik) csoport az elemzések szerint kifejezetten a villamosenergia-rendszer elleni támadásokra specializálódott, azonban a rendelkezésre álló információk alapján nincsenek olyan képességeik, amik az érintett szervezetek ICS rendszereinek támadásához szükségesek, ehelyett a célba vett hálózatokról gyűjtenek információkat és szellemi tulajdont képező információkhoz igyekeznek hozzáférni.

A Covellite 2017 óta egyaránt célba vett európai, Észak-amerikai, Kelet-ázsiai szervezeteket, jellemzően kis volumenű, célzott adathalász támadásokkal operálva, amelyek során önéletrajznak vagy meghívónak álcázott fájlokkal próbálják bejuttatni a malware-jeiket a megcélzott szervezetek rendszereibe. Ezek a malware-ek jellemzően távoli hozzáférést biztosító trójaiak (RAT).

A Covellite által használt infrastruktúra (Command-and-Control szerverek) és malware-ek meglehetősen nagy hasonlóságot mutatnak a Lazarus és Hidden Cobra néven ismert, egyes források szerint Észak-koreai hátterű csoportokkal, de arra vonatkozóan jelenleg nem áll rendelkezésre bizonyíték, hogy milyen és mennyire szoros kapcsolat állhat fenn ezek között a csoportok között.

Az utóbbi időben a Covellite csoport aktivitása a jelek szerint fókuszt váltott és az Észak-amerikai célpontok helyett most már inkább európai és Kelet-ázsiai célpontokra koncentrálnak. A Dragos a Covellite csoport kritikus infrastruktúrák iránti fokozott érdeklődése, gyorsan fejlődő eszköztára és korábbi agresszív támadásai miatt kiemelt veszélyforrásnak tekinti ezt a csoportot.