La Electronic Frontier Foundation e Lookout hanno identificato le attività di Dark Caracal, una Advanced Persistent Threat che organizza e mette in atto operazioni molto articolate di esfiltrazione di dati da dispositivi mobili e personal computer. Secondo la EFF si tratta di uno dei primi casi documentati di APT focalizzate sul mondo mobile e in grado di lanciare operazioni di attacco a livello globale.

La EFF e Lookout hanno ipotizzato l'esistenza di Dark Caracal quando hanno rilevato attacchi in rete simili a quelli organizzati nel 2016 per colpire gli oppositori del presidente kazako Nazarbayev. Le metodologie di attacco usate allora si sono replicate in seguito e soprattutto la rete di comando e controllo dietro i nuovi attacchi rimandava a quella del 2016. Questo ha portato a concludere che esiste da tempo un gruppo stabile e organizzato che mette in atto attacchi mirati, proponendosi al miglior offerente.

Si suppone che Dark Caracal operi sin dal 2012 e nel tempo abbia distribuito qualcosa come 11 versioni di malware per Android e 26 per PC (Windows, Mac e Linux), colpendo bersagli in una ventina di nazioni tra cui anche l'Italia. I bersagli sono di vario tipo, a seconda dei casi: militari, aziende, giornalisti, attivisti e professionisti in vari campi. Le tecniche di attacco usate hanno permesso di rubare documenti, contatti personali, chat, registrazioni audio, SMS, fotografie e dati di identificazione.



La metodologia di attacco contro i device mobili Android è sempre la stessa e si basa sul portare i bersagli a scaricare software apparentemente lecito ma che in realtà contiene un trojan che poi invia i dati presenti sul dispositivo a server remoti. Dark Caracal usa a questo scopo malware acquistato sul Dark Web ma ha anche sviluppato un suo proprio trojan, denominato Pallas. Google è stata avvisata di questa minaccia e ha provveduto a "bonificare" il Google Play Store. Il problema è che gli attacchi cercano anche di portare gli utenti a scaricare app da siti non controllati.

Dark Caracal ha attaccato anche i PC, sia pure con forme di attacco meno originali. Gli utenti-bersaglio sono portati a scaricare malware con tecniche di phishing, indirizzandoli su siti che replicano l'interfaccia e le funzioni di siti leciti, anche i più comuni social network. Paralellamente i malware vengono distribuiti anche attraverso documenti Word infetti, che una volta aperti lanciano macro per scaricare i malware veri e propri.