Эксперты «Лаборатории Касперского» зафиксировали волну кибератак на дипломатические и государственные учреждения в странах Средней и Юго-Восточной Азии с применением программы-эксплойта, использующей одну и ту же уязвимость в приложении Microsoft Office. В отчёте антивирусной компании отмечается, что все следы ведут к новой преступной группировке — Danti.

Обнаружение первых признаков активности Danti датируется февралём этого года. Как уточняется, в наибольшей степени от действий злоумышленников пострадали пользователи в Казахстане, Узбекистане, Киргизии, Индии, Мьянме, Непале и Филиппинах. Используемая киберпреступниками брешь CVE-2015-2545 была закрыта Microsoft ещё в конце 2015 года, однако это обстоятельство не мешает им осуществлять свою масштабную кампанию кибершпионажа.

Эксплойт распространяется посредством адресных фишинговых писем, для привлечения дополнительного внимания пользователей атакующие используют имена высокопоставленных государственных лиц в качестве отправителей. При запуске эксплойта на устройстве жертвы начинается процесс инсталляции программы-бекдора, которая предоставляет злоумышленникам полный доступ к конфиденциальным данным в инфицированной Сети. Используемый Danti эксплойт отличается повышенной сложностью и способен избегать обнаружения встроенными средствами защиты Windows.

Происхождение Danti аналитикам «Лаборатории Касперского» пока неизвестно, однако они склоняются к версии, что группировка как-то связана с организаторами кампаний кибершпионажа NetTraveler и DragonOK. Также есть основания полагать, что за Danti стоят китайскоговорящие хакеры.