Danh sách công bố lần này bao gồm 61 tệp nhị phân trên Windows, trong đó có các tệp thi hành, các thư viện liên kết động và các trình điều khiển thiết bị. Theo một phân tích, 43 tệp trong số đó đã bị các sản phẩm diệt virus của Kaspersky Lab phát hiện, trong công bố chi tiết của công ty này năm 2015 về Equation Group - nhóm tin tặc có liên quan tới NSA, nhưng chỉ một tệp đã được tải lên dịch vụ quét mã độc củaVirus Total.
Virus Total cho biết, mẫu được tải chỉ được phát hiện bởi 32 trong số 58 sản phẩm diệt virus, dù nó đã được tải lên từ năm 2009. Sau khi các mẫu mới được tải lên Virus Total, chỉ có thêm một tệp được 12 trong số 58 sản phẩm diệt virus nhận diện.
Các chuyên gia mã độc vẫn đang phân tích, nhưng những kết quả ban đầu cho thấy, cũng giống như những tệp mà Shadow Brokers công bố lần trước, những công cụ này thuộc về Tailored Access Operations – nhóm hack tinh nhuệ của NSA.
Nhiều ngày trước tuyên bố ngừng hoạt động, các thành viên của nhóm Shadow Brokers đã đưa ra ảnh chụp màn hình của những công cụ tấn công hệ điều hành Windows mà họ cho là do NSA phát triển. Các hình ảnh đó và tên tệp cho thấy các công cụ hack có thể bao gồm một cổng hậu dựa trên những lỗ hổng chưa được vá của giao thức Server Message Block. Các công cụ khác có thể cung cấp các tính năng:
- Vượt qua các chương trình diệt virus của hơn một chục nhà cung cấp khác nhau, trong đó có Kaspersky, Symantec, McAfee và Trend Micro.
- Xoá bỏ các mục trong event log thường được dùng để điều tra các vụ xâm nhập máy tính và mạng.
- Tấn công email client trên Windows có tên là WorldTouch.
- Chiếm quyền quản trị hay thu thập mật khẩu của các máy tính chạy Windows.
Với những nhà nghiên cứu muốn tìm hiểu về các thành viên trong nhóm Shadow Brokers, những hình ảnh chứa trong tệp dump cho thấy các tệp nằm trong ổ đĩa D – nhiều khả năng là một ổ đĩa USB, căn cứ vào biểu tượng đi kèm. Thư mục được đặt tên là DSZOPSDISK, một chuỗi khớp với tên thư mục của lần công bố trước.
Nhà nghiên cứu độc lập Matt Tait, người đưa tin trên Twitter với tài khoản Pwn All The Things, cho biết: các chứng cứ cho thấy thông tin bị lộ qua một người bên trong tổ chức đã đánh cắp và sau đó bị mất thiết bị nhớ USB, chứ không phải là một vụ tấn công trực tiếp vào NSA. Cũng theo Tait, chiếc máy tính mà thiết bị nhớ USB cắm vào có vẻ chạy Kaspersky AV và các công cụ VMware, không nối mạng và không có card âm thanh, được cấu hình ngày, tháng dạng dd/mm/yyyy. Các tệp này được ký bằng cùng khoá mã hoá dùng để ký các tệp trong lần công bố trước của Shadow Broker.
Đây có lẽ là hoạt động cuối cùng của nhóm Shadow Broker, bởi sau các công bố này, nhóm Shadow Broker cũng tuyên bố sẽ ngừng hoạt động.