Da molto tempo il Global Research and Analysis Team di Kaspersky Lab (GReAT) monitora più di 60 gruppi criminali che si sono resi colpevoli di diversi attacchi informatici in tutto il mondo, ma è recente la scoperta, da parte degli esperti di Kaspersky Lab, di un nuovo gruppo, denominato Equation, che si sta dimostrando particolarmente pericoloso per la complessità delle tecniche che utilizza per fare spionaggio informatico, per infettare le sue vittime, infatti, Equation usa un potente arsenale di trojan. Metodi tradizionali sono stati usati dai criminali per infettare gli obiettivi non solo tramite Web, ma anche nel mondo reale intercettando prodotti fisici e sostituendoli con versioni infettate da trojan. Ma non solo: diversi collegamenti fanno pensare che il gruppo Equation abbia interagito con altri potenti gruppi come quelli che stanno dietro Stuxnet e Flame. Il gruppo usa poi una vasta infrastruttura C&C che include più di 300 domini e oltre 100 server distribuiti in vari Paesi e attualmente Kaspersky Lab sta bloccando più di una ventina dei 300 server di Comando e Controllo.
Dal 2001 il gruppo Equation ha infettato migliaia e forse più di vittime in più di 30 Paesi al mondo coinvolgendo Governi, istituzioni diplomatiche, telecomunicazioni, mass media, istituti finanziari e molto altro. Durante lo stadio dell’infezione, Equation può usare dieci exploit di seguito, anche se gli esperti di Kaspersky Lab hanno notato che non ne vengono utilizzati più di tre: se il primo non funziona, passano al secondo e poi al terzo; se falliscono con tutti e tre decidono di non infettare il sistema. I prodotti di Kaspersky Lab hanno individuato diversi tentativi di attacco agli utenti e molti di questi non sono riusciti grazie alla tecnologia di Automatic Exploit Prevention che rileva e blocca lo sfruttamento di vulnerabilità sconosciute. Il GReAT, poi, è stato in grado di recuperare due moduli che permettono di riprogrammare il firmware dell’hard disk di diverse marche di HDD.