Зловмисна активність зафіксована в багатьох державах, в тому числі і в Україні, однак ціллю перевежної більшості атак стали організації Пакистану. Аналіз атак, відзначається у повідомленні ESET, дозволив з’ясувати, що кіберзлочинна кампанія бере свій початок в Індіъ.

«Ми виявили кілька документів з різними темами, котрі привертають увагу одержувачів. Так, наприклад, один з таких документів використовував тему індійських збройних сил. У нас немає точної інформації про те, на кого були спрямовані ці файли. Грунтуючись на результати проведених досліджень, можемо лише припустити, що основною метою кіберзлочинців були люди та організації в Пакистані. Згідно з даними, які були отримані за допомогою технології телеметрії, 79% постраждалих перебували на території саме цієї країни, — аналітик ESET Жан-Ян Бутин. — Загроза поширювалася електронною поштою під виглядом різних документів. Одним з прикладів таких шкідливих вкладень став PDF-файл, який був доставлений через архів, що самостійно розпаковувався і мав назву pakistandefencetoindiantopmiltrysecreat.exe».

В одному із векторів атаки, пояснив Бутин, використовувалася широко популярна уразливість CVE-2012-0158, інтегрована у спеціально створений документ Microsoft. Після отримання такого документа електронною поштою і його відкриття, користувач, не знаючи про це, запускав шкідливий код. Крім документів Microsoft Word хакери використовували PDF-документи, які також розсилалися електронноб поштою.

З інфікованих комп֦’ютерів викрадалися конфіденційні дані: зловмисне ПЗ використовувало традиційний для такої активності набір інструментів, зокрема, клавіатурний шпигун, скріншоти екрану, пересилання документів зловмисникам і т.п. При цьому, відзначив Жан-Ян Бутин, викрадена інформація пересилалася на віддалений сервер у незашифрованому вигляді, завдяки чому ідентифікувати вірус було відносно просто.