Pierwsze publiczne informacje na temat grupy XDSpy i stosowanego przez nich złośliwego oprogramowania pojawiły się w lutym 2020 roku, kiedy białoruski CERT poinformował o zidentyfikowaniu kampanii z jej udziałem. Przestępcy wysyłali wiadomości phishingowe do swoich celów. Zachęcały one do pobrania załącznika, który następnie infekował komputer złośliwym oprogramowaniem. Za pomocą wirusa atakujący mogli następnie wykradać z zarażonej instytucji dokumenty zawierające poufne informacje.
ZOBACZ RÓWNIEŻ: Cyberpunk 2077. Keanu Reeves w pierwszej reklamie. Kiedy premiera Cyberpunk 2077 [WIDEO]
W wyniku swojej analizy badacze ESET ustalili, że za przytoczone ataki nie odpowiada żadna z dotychczas rozpoznanych grup cyberprzestępców, a nieznana dotąd grupa APT, która pozostaje aktywna od co najmniej 2011 roku. Na swoje ofiary wybiera ona przede wszystkim cele z terenu Europy Wschodniej i Bałkanów, w tym w szczególności instytucje rządowe – m.in. o charakterze zbrojnym i ministerstwa spraw zagranicznych – oraz firmy prywatne.
Badacze ESET zwracają uwagę, że choć przez większość czasu przestępcy wykorzystują w swoich operacjach stosunkowo nieskomplikowane metody i narzędzia, rozsyłając do swoich ofiar archiwa ZIP zawierające złośliwe pliki LNK, tak odnotowany został incydent, kiedy grupa sięgnęła po własną wersję wykorzystania luki bezpieczeństwa w module przeglądarki Internet Explorer. Sugeruje to, że mają oni dostęp także do bardziej zaawansowanego zaplecza technicznego, co zwiększa zagrożenie z jej strony.
