De aanval waarbij een onbekend lek in Internet Explorer is gebruikt om bij organisaties in Japan binnen te dringen was al een maand gaande voordat Microsoft de kwetsbaarheid ontdekte en openbaar maakte. Dinsdag 17 september waarschuwde Microsoft IE-gebruikers voor het nieuwe lek.

De kwetsbaarheid is in alle ondersteunde IE-versies aanwezig is, maar zou alleen tegen gebruikers van IE8 en IE9 zijn ingezet. Volgens beveiligingsbedrijf FireEye zouden de aanvallers achter het lek de aanvalscampagne al op 19 augustus van dit jaar zijn begonnen. Een maand voordat Microsoft alarm sloeg.

IP-adres

De malware die bij de aanvallen op het nieuwe IE-lek werd gebruikt detecteerde FireEye voor het eerst op 23 augustus in Japan. Het gaat in totaal om vijf bestanden waarvan er vier op 19 augustus van dit jaar zijn gecompileerd. Aan de hand van een gebruikt IP-adres stelt het beveiligingsbedrijf dat de aanval is uitgevoerd door de groep die ook achter de aanval op beveiligingsbedrijf Bit9 zat.

Nu wil het geval dat Symantec op 17 september, dezelfde dag dat het IE-lek bekend werd, een rapport over Hidden Lynx publiceerde. Een groep "cyberhuurlingen" die uit 50 tot 100 man bestaat en verantwoordelijk is voor een groot aantal gerichte aanvallen waarbij allerlei vertrouwelijke informatie van bedrijven en organisaties werd gestolen. De groep hackers is volgens Symantec gebaseerd in China en zou al sinds 2009 actief zijn.

Japan

Sinds 2011 zouden bij de aanvallen van Hidden Lynx tenminste drie zero-day exploits zijn ingezet, kwetsbaarheden waarvoor nog geen update beschikbaar is. Geen van de slachtoffers van Hidden Lynx wordt bij naam in het rapport genoemd, op één na, Bit9. Daarnaast staat in het rapport dat Japanse organisaties tot de Top 5 doelwitten van de groep cyberhuurlingen behoort.