Специалисты «Лаборатории Касперского» сообщили об активности ранее неизвестной группировки GoldenJackal. Ее атаки относятся к числу постоянных угроз повышенной сложности (advanced persistent threat - APT) и осуществляются с 2019 года. Целями атак являются правительственные и дипломатические учреждения ряда стран Азии и Ближнего Востока – в частности, Азербайджана, Афганистана, Ирака, Ирана, Пакистана и Турции.

Невзирая на уже серьезный стаж группировка никогда ранее «не попадала на радары». Это объясняется тем, что она чрезвычайно тщательно выбирает цели, осуществляет атаки сравнительно редко и категорически избегает любой публичности. Немаловажным фактором является и то, что кибершпионы используют собственный набор весьма изощренных инструментов. К ним относится, например, JackalControl, дающий злоумышленникам удаленный контроль над инфицированным устройством. JackalSteal служит для похищения данных со всех логических дисков, включая удаленные общие хранилища и подключенные USB-устройства. JackalWorm копирует себя на такие подключенные устройства для дальнейшего распространения. Примечательно, что после подключения к другому компьютеру, зловред инфицирует его и удаляет себя с USB-носителя. Кроме того, JacklPerInfo собирает и передает организаторам атаки системную информацию, а JackalScreenWatcher служит для создания снимков экрана.

Векторы первичного распространения GoldenJackal неизвестны, но исследователи «Лаборатории Касперского» отмечали попытки его распространения в фишинговых кампаниях, а также посредством троянизированных версий установщиков ПО Skype для бизнеса. Неясно пока и то, кто может стоять за атаками GoldenJackal. Эксперты отмечают определенное сходство в кодах ПО и тактике атак этой группы с группировкой Turla, однако склоняются к тому, чтобы считать таинственных кибершпионов совершенно отдельной группой.