Para peneliti Kaspersky Lab pertama kali mulai menyadari kehadiran “The Mask” pada tahun lalu. Saat itu, mereka sedang mengamati sebuah usaha untuk mengeksploitasi kerentanan produk Kaspersky Lab yang telah diperbaiki lima tahun lalu.
Ternyata, eksploitasi tersebut memberikan malware kemampuan untuk menghindari pendeteksian. Hal ini tentu saja langsung menarik perhatian para peneliti Kaspersky Lab. Kemudian, dimulailah penyelidikan terhadap kegiatan tersebut.
Target utama mereka adalah lembaga pemerintah, kantor diplomatik, kedutaan besar, perusahaan energi dan migas, lembaga penelitian, serta aktivis. Korban serangan tertarget ini telah ditemukan di 31 negara di seluruh dunia, mulai dari Timur Tengah dan Eropa hingga Afrika dan Amerika.
Tujuan utama para pelaku adalah mengumpulkan data sensitif dari sistem yang terinfeksi. Data ini termasuk dokumen-dokumen kantor serta berbagai kunci enkripsi, konfigurasi VPN, kunci SSH, dan file RDP (Remote Desktop Client).
Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab Costin Raiu meyakini, kegiatan mata-mata ini bisa jadi sebuah kegiatan yang dibiayai oleh negara (state-sponsored). Ada beberapa alasan yang memperkuat anggapan tersebut.
“Pertama, kami mengamati adanya tingkat profesionalitas yang sangat tinggi dalam prosedur operasi kelompok penyerang ini, mulai dari manajemen infrastruktur hingga penutupan operasi. Semua gabungan hal tersebut membuat virus ini berada di atas Duqu™ dalam hal kecanggihan dan membuatnya menjadi ancaman paling canggih yang ada saat ini. Bahkan, tingkat keamanan operasi seperti ini tak lazim untuk sebuah kelompok penjahat siber,” pungkas Costin.