Een grootschalige spionagecampagne die in meer dan 100 landen actief was heeft zo'n 12.000 IP-adressen weten te infecteren. De SafeNet-campagne, door het Japanse anti-virusbedrijf Trend-Micro ontdekt, was gericht tegen overheidsorganisaties, technologiebedrijven, mediabedrijven, academische onderzoekinstituten en non-gouvernementele organisaties (NGOs).

Trend Micro benadrukt dat de SafeNet-campagne niets te doen heeft met het gelijknamige beveiligingsbedrijf. Slachtoffers van de campagne ontvingen spear phishingmails, op maat gemaakte e-mailberichten met een bijlage. Deze bijlage maakte misbruik van een beveiligingslek in Microsoft Office dat op 10 april 2012 gepatcht werd.

Script
Tijdens het onderzoek naar de Command & Control (C&C)-servers waarmee de aanvallers de besmette computers aanstuurden, werd een back-up script ontdekt dat de aanvallers gebruikten om de bestanden op de server te archiveren. Hierdoor kon het anti-virusbedrijf de PHP-bestanden analyseren die voor de C&C-servers werden gebruikt.

Was de malware eenmaal actief, dan werden door Internet Explorer, Firefox en de Remote Desktop opgeslagen wachtwoorden gestolen. De meeste van de 12.000 besmette IP-adressen bevinden zich in India, gevolgd door de Verenigde Staten en China.

Update
Wie erachter de aanval zit durft Trend Micro niet te zeggen, maar de malware is waarschijnlijk door een software engineer ontwikkeld die aan een Chinese universiteit studeerde. Uit het rapport blijkt dat de aanvallers alleen via besmette Word-documenten werkten.

Aangezien de aanval voor het eerst in oktober 2012 werd waargenomen betekent dit dat alle 12.000 infecties voorkomen hadden kunnen worden als de eigenaren en beheerders van de computers de moeite hadden genomen om de beveiligingsupdate van Microsoft uit april te installeren.