De meest geraffineerde spionagecampagne die ze ooit hadden gezien, zo stelden onderzoekers van antivirusbedrijf Kaspersky in 2014. Nu laten voormalige medewerkers van de virusbestrijder tegenover TechCrunch weten dat de aanvallen het werk van de Spaanse overheid waren. Begin 2014 kwam Kaspersky met een analyse van een advanced persistent threat (APT) genaamd Careto, ook wel The Mask genoemd.

De malware van de groep zou sinds 2007 allerlei gevoelige gegevens van overheidsinstanties, ambassades, energie-, olie- en gasbedrijven, onderzoeksinstellingen, private equity-bedrijven en activisten hebben gestolen. "Wat The Mask speciaal maakt is de complexiteit van de toolset die de aanvallers gebruiken. Het gaat onder andere om zeer geraffineerde malware, een rootkit, een bootkit, macOS- en Linux-versie en mogelijk versies voor Android en iPad/iPhone (iOS)", aldus de onderzoekers destijds in een analyse. Meer dan duizend slachtoffers in 31 verschillende landen werden waargenomen.

Voor het infecteren van doelwitten werd gebruik gemaakt van verschillende exploits, waaronder Adobe Flash Player. Ook werden gebruikers gevraagd Java-bestanden te downloaden en uitvoeren of een Chrome-extensie te installeren. Destijds stelde Kaspersky dat het om een statelijke actor ging, maar noemde geen land. De malware maakte ook gebruik van een bekende kwetsbaarheid in de virusscanner van Kaspersky om zich te verbergen.

Vorig jaar waarschuwde Kaspersky dat het na meer dan tien jaar voor het eerst weer activiteit van Careto had waargenomen. De groep gebruikte malware waarmee het mogelijk is slachtoffers via hun eigen microfoon af te luisteren, alsmede bestanden en andere vertrouwelijke informatie zoals inloggegevens te stelen. De aanvallers hadden het vooral voorzien op vertrouwelijke documenten, cookies, opgeslagen formuliergegevens, in browsers opgeslagen inloggegevens en cookies van Threema, WeChat en WhatsApp.

Na de publicatie in 2014 stopte Careto met alle activiteiten om vervolgens zo'n tien jaar later weer te worden opgemerkt. Voormalige medewerkers van Kaspersky laten op anonieme basis weten dat de Spaanse overheid achter Careto zit. Dit werd mede gebaseerd op doelwitten en verwijzingen in de code. In 2014 was dat volgens deze medewerkers binnen het bedrijf ook al bekend, maar Kaspersky heeft een 'geen attributie' beleid, wat inhoudt dat het geen namen van landen noemt. "We houden ons niet bezig met formele attributie", zo laat het antivirusbedrijf ook in een reactie tegenover TechCrunch weten.