Os peritos da Kaspersky já contabilizaram mais de 380 vítimas em mais de 20 países. Entre os computadores afetados, estão empresas de petróleo, gás e energia, agências de investigação, ativistas e agências de governos e embaixadas. Malware sofisticado, métodos de rootkit e bootkit para manter-se nas máquinas infetadas mesmo após reboots fazem parte do conjunto de técnicas aplicadas.
Os atacantes são provavelmente oriundos de um país latino e roubam documentos, chaves de encriptação, configurações de VPN e assinaturas digitais seguras, noticia a Wired.
Os ataques do The Mask afetam sistemas Windows e Linux e desconfia-se que existam versões para Android e iOS. As vítimas são iludidas a seguir um determinado link de onde o malware é descarregado. O módulo que rouba os dados usa duas camadas de encriptação RSA e AES para comunicar com os atacantes.
«São uma elite APT (de Advanced Persistent Threat): é um dos melhores grupos que já vi», diz Costin Raiu, diretor da Kaspersky Global Research and Analysis Team. Os investigadores detetaram vestígios de espanhol no código usado e desconfiam que os atacantes sejam provenientes ou de Espanha ou de um país da América Latina.
Sabe-se que o The Mask afetou agências e empresas de vários países e a Kaspersky desconfia que seja um governo que esteja por trás desta operação. As falhas exploradas podem ter sido vendidas pela Vupen, uma empresa francesa que vende vulnerabilidades às autoridades e a agências de espionagem.