A Kaspersky Lab globális kutató és elemző csapata (GReAT) egy kémcsoport működését tárta fel: bejelentésük szerint a Desert Falcons egy olyan kiberkémekből álló csapat, amely elsősorban a Közel-Kelet nagy befolyású szervezeteit célozza, de független személyek is vannak az áldozataik között. A szakértők őket tekintik az első ismert arab csoportnak, amely kiberzsoldosaival teljes körű kiberkémkedési műveleteket fejleszt és hajt végre.

A jelentésben leírják, hogy a Desert Falcons 2011-ben kezdte a hadműveletek fejlesztését, a fő támadásuk és a valódi fertőzés pedig 2013 elejére tehető. Tevékenységük csúcsát 2015 elején mérték.

A Windows PC-ket és az androidos eszközöket célzó támadásokhoz saját rosszindulatú eszközeiket használták. A Kaspersky Lab szakértőinek több oka is van azt feltételezni, hogy a Desert Falcons mögött álló támadók arab anyanyelvűek.

Az áldozatok között katonai és állami szervezetek is vannak – részben olyan alkalmazottak, akik a pénzmosás ellen küzdenek, valamint egészségügyi és üzleti szektorhoz tartozók, vezető médiumok; kutatási és oktatási intézmények; energetikai és közüzemi szolgáltatók; aktivisták és politikai vezetők; továbbá biztonsági cégek és egyéb olyan célpontok, akik fontos geopolitikai információk birtokában lehetnek. A Kaspersky Lab szakértői összesen több, mint 50 ország 3000 áldozatát tudták azonosítani, az ellopott fájlok száma pedig meghaladja az egymilliót. Bár a Desert Falcons tevékenysége elsősorban Egyiptomra, Palesztinára, Izraelre és Jordániára korlátozódott, számos áldozatra bukkantak Katar, Szaúd-Arábia, az Egyesült Arab Emírségek, Algéria, Libanon, Norvégia, Törökország, Svédország, Franciaország, az Egyesült Államok, Oroszország, és más országok területén is.

A Falcons csoport fő módszere az volt, hogy a rosszindulatú programot adathalász oldalak segítségével terjesztették, e-mailen, közösségimédia-felületek bejegyzésein és chatüzeneteken keresztül. Az adathalász üzenetek tartalmazták a rosszindulatú fájlokat (vagy az azokra vezető linket) valós dokumentumnak vagy alkalmazásnak álcázva. A Desert Falcons tagjai különböző technikákat használtak arra, hogy rávegyék az áldozatokat, hogy a rosszindulatú fájlokat futtassák. Az egyik legjellemzőbb módszer az úgynevezett kiterjesztést felcserélő trükk volt. Ez a módszer a Unicode egy speciális karakterét használja ki, és annak segítségével felcseréli a fájl nevének karaktereit, ezáltal a veszélyes fájl kiterjesztése a fájlnév közepére kerül, az ártalmatlannak tűnő kiterjesztés pedig a végére. Ezzel a technikával a rosszindulatú fájl (.exe vagy .scr kiterjesztéssel) ártalmatlan dokumentum vagy pdf fájlnak tűnik, és emiatt még az óvatos felhasználók is könnyen bedőlhetnek. (Például egy olyan fájl, ami eredetileg .fdp.scr végződésű lenne, ennek segítségével .rcs.pdf lesz.)

Egy áldozat sikeres megfertőzését követően egy vagy két különböző backdoort alkalmaznak: a fő Desert Falcons trójait vagy a DHS backdoor-t, amelyeket látszólag a semmiből fejlesztették, és folyamatos fejlesztés alatt állnak. A Kaspersky Lab szakértői összesen több, mint 100 malware-mintát tudtak azonosítani a csoport támadásaiban.

A használt rosszindulatú eszközöknek teljes backdoor funkciója is van: többek között képesek screenshotokat készíteni és a billentyűleütések rögzítésére, fájlok fel-, és letöltésére, az áldozatok merevlemezén vagy csatolt USB eszközén tárolt Word- és Excel-fájlok összes adatának összegyűjtésére. Ráadásul a Kaspersky Lab szakértői egy olyan malware nyomaira is bukkantak, amely androidos backdoorként képes mobilhívások és sms-naplók lopására is.