בקמפיין הראשון, Outer Space, קבוצת OilRig השתמשה בדלת אחורית פשוטה ב-C#/.NET, שלא תועדה בעבר, אותה כינו חוקרי ESET בשם Solar עם קובץ מערכת שנקרא SampleCheck5000 (SC5k), המשמש שרתי Microsoft Exchange לתקשורת של שרת ה-C&C באמצעות API. בקמפיין הזדוני השני, Juicy Mix, קבוצת התקיפה שיפרה את Solar כדי ליצור את הדלת האחורית 'מנגו', בעלת יכולות נוספות ושיטות ערפול קוד אשר מקשים על הזיהוי. שתי הדלתות האחוריות נפרסו על-ידי התקנת סקריפטי VBS, אשר ככל הנראה הופצו באמצעות הודעות דוא"ל הכוללות דיוג (פישינג) ממוקד. בנוסף לאיתור וזיהוי ערכת הכלים הזדונית, ESET הודיעה למערך הסייבר הלאומי על האתרים שנפגעו. ESET קראה לדלת האחורית בשם Solar בעקבות הדמיון לשימוש בשיטת שמות מבוססת אסטרונומיה בשמות הפונקציות והמשימות שלה; לדלת האחורית החדשה, החוקרים קראו מנגו, בהתבסס על שם המכלול הפנימי ושם הקובץ שלו.

לדלת האחורית Solar יש פונקציונליות בסיסית בה ניתן להשתמש בין היתר להורדה, חילוץ והרצה אוטומטית של קבצים. לפני השימוש ב-Solar, קבוצת OilRig השתמשה בשרת אינטרנט של חברת משאבי אנוש ישראלית כשרת C&C. בקמפיין השני, Juicy Mix, קבוצת OilRig עברה משימוש בדלת האחורית Solar, לשימוש בדלת האחורית המשופרת מנגו. שיטת הפעולה דומה ל-Solar ובעלת יכולות חופפות כאשר ESET זיהתה שינויים טכניים בולטים כמו טכניקת התחמקות מתקדמת שלא הייתה בשימוש בדלת האחורית הקודמת. "מטרת הטכניקה הזו היא למנוע מפתרונות האבטחה בתחנות הקצה מלבחון לעומק את הפעולות שהקובץ החשוד מבצע. מלבחון לעומק את הפעולות שהקובץ החשוד מבצע. אומנם הפרמטר לא היה בשימוש בדגימה שניתחנו, אך ניתן יהיה להפעיל אותו בגרסאות עתידיות", מציינת חוקרת ESET, זוזנה הרומקובה, שניתחה את שני הקמפיינים של OilRig. קבוצת OilRig הידועה גם בשמות APT34, Lyceum או Siamesekitten היא קבוצת ריגול סייבר שפעילה מאז 2014 לפחות, ומקובל להאמין שבסיס פעילותה הוא באירן. הקבוצה מכוונת בעיקר לממשלות במזרח התיכון ולמגוון רחב של ענפים, כולל כימיקלים, אנרגיה, פיננסים ותקשורת.