История одного расследования или как DLP-система выявила целенаправленную атаку

Меня тут удивил адрес XXXX@icloud.com. Чтобы пользоваться таким адресом надо иметь устройство Эппл. По функционалу аккаунт ничем не отличается от любой другой почтовой системы. Так, спрашивается, почему именно Icloud? Странно, что авторы трояна используют такой неудобный адрес. Еще непонятно: «ряд конфиденциальных документов регулярно уходил на внешний адрес вида XXXX@icloud.com» — это каким образом было? Почтовый сервер организации их туда отправлял? по SMTP? Может быть документы предавались по SMTP через посторонний сервер? В этих случаях организации следовало бы вначале настроить правильно свое хозяйство, а уж потом внедрять DLP.