Az elmúlt években egyre több jelentés látott napvilágot a különböző célzott támadásokat vagy APT-ket végrehajtó személyek tevékenységéről. A Symantec Security Response-nál egy olyan csoportot tartanak megfigyelés alatt, amelynek tagjairól azt tartják, a legjobbak közé tartoznak. A C&C szerver kommunikációjában talált jelsorozat után a csoportot Hidden Lynx-nek nevezték el.
A csoport főbb jellemzői:
-technikai képzettség
-ügyesség
-szervezettség
-leleményesség
-türelem
Ezeket a tulajdonságokat mutatja az egyidejűleg több célpont ellen, tartósan végzett könyörtelen kampány. A csoport tagjai az úgynevezett “watering hole” technika (amelyet a célpontok megfigyelésére használnak) úttörői, korai hozzáférésük van a nulladik napi sebezhetőségekhez, valamint a türelmük és kitartásuk egy intelligens vadászéhoz hasonlítható, ahogy a beszállítói láncot veszélyeztetik a valódi célpont megszerzése érdekében. A beszállítói láncokat célzó támadások során megfertőzik a célpontot kiszolgáló számítógépeket, és aztán megvárják, míg a fertőzött gépeket installálják és aktivizálják, ami arra utal, hogy nem amatőrök véletlenszerű behatolásáról van szó.
A csoport nemcsak egy maroknyi célpontra korlátozza tevékenységét, hanem egyidejűleg több száz szervezetet tart támadás alatt különböző országokban. A célpontok és az érintett országok kiterjedtsége és száma miatt feltételezhető, hogy ez a csoport valószínűleg egy felbérelhető professzionális hacker alakulat, amelyet információszerzésre bérelnek fel a megbízók.
Igény szerint tulajdonítanak el ügyfeleik számára fontos adatokat, ami magyarázatként szolgál a célpontok sokszínűségére. A Symantecnél úgy gondolják, az ilyen szintű támadások megvalósításához szükséges, hogy a csapatban jelentős szakértelemmel bíró hackerek is legyenek. Hozzávetőleg 50-100 főt alkalmazhatnak 2 csoportba szervezve, melyeknek megvan a maguk feladata. Az ilyen típusú támadások időigényesek és számottevő erőfeszítést, felderítést és hírszerzést igényelnek.
A csoport első vonalában egy olyan csapat áll, amely eldobható eszközöket használ és egyszerűen, de hatékony technikával támad számtalan célpontra. Ez a csapat egyfajta hírszerzőként is működik, és a trójai program után Team Moudoornak nevezték el. A Moudoor egy hátsó ajtós trójai, amit a csapat gyakran alkalmaz, nem aggódva azon, hogy a kiberbiztonsági cégek felderítik őket.
A másik csapat pedig amolyan különleges műveleti egységként működik, egy elit egység, mely a legnehezebb vagy legfontosabb célpontokat támadja meg. Ez az elit csapat az általuk használt Naid nevű trójairól kapta nevét: Team Naid. A Moudoorral ellentétben a Naidot ritkábban és rendkívül óvatosan használják, hogy elkerüljék a felfedezését. Olyan, mint egy titkos fegyver, akkor vetik be, amikor biztosra akarnak menni.
2011 óta ennek a csapatnak legalább 6 jelentős kampányát követték nyomon, melyek közül a legfigyelemreméltóbb a VOHO támadás volt 2012 júniusában. Ami különösen érdekes ezzel a támadással kapcsolatban az a “watering hole” alkalmazása volt, illetve a Bit9 cég megbízható programok digitális aláírására alkalmazott infrastruktúrájának feltörése. A VOHO kampány végeredményben az amerikai védelmi minisztérium alvállalkozóit célozta meg, akiknek a rendszereit a Bit9-es megbízhatóságon alapuló védelmi szoftverek védték.
Amikor ez a program megakadályozta a Hidden Lynx hackerek támadását, akkor elhatározták, hogy magát a védelmi rendszer agyát kell ártalmatlanná tenni, és irányításuk alá vonni. Pontosan ezt is tették, amikor figyelmüket a Bit9 felé fordították és feltörték a rendszerüket. A feltörés folyamán a támadók gyors utat találtak a digitális aláírási infrastruktúrához, amely a Bit9 védelmi modell alapja volt. Ezt követően ezt a rendszert alkalmazták arra, hogy számos malware fájlt minősíttessenek „megbízhatónak”, majd ezeket a fájlokat használták fel az eredetileg tervezett támadások megvalósítására.