Een cryptodelver die nooit veel cryptomunten voor zijn makers leek te genereren, maakt volgens onderzoekers van beveiligingsbedrijf Kaspersky Lab deel uit van een grotere digitale spionage-campagne. Het platform, dat ze StripedFly noemen, heeft sinds 2017 wereldwijd meer dan 1 miljoen Windows- en Linux-doelen besmet. StripedFly is modulair en heeft componenten om de apparaten van doelen in gevaar te brengen en verschillende soorten gegevens te verzamelen. Dat zou er op wijzen dat de code is gemaakt als onderdeel van een goed gefinancierd staatsspionageprogramma en niet door een criminele organisatie. Die bevat ook een bijwerkmechanisme zodat aanvallers verbeteringen en nieuwe functionaliteit voor de kwalijke code kunnen verspreiden.
De code besmet doelen in eerste instantie met behulp van een aangepaste versie van de beruchte EternalBlue-code die is gelekt door de beruchte Amerikaanse veiligheidsdienst NSA.StripedFly kan onder andere toegangsgegevens van besmette apparaten stelen, schermafbeeldingen maken, databanken, gevoelige bestanden, video’s of andere interessante informatie verzamelen en geluid opnemen via de microfoon van het doelwit.
Opvallend is dat StripedFly een innovatieve Tor-verbinding gebruikt om de communicatie en uitwisseling tussen de de kwalijke code en de servers van de gegevesdieven te maskeren. Het bevat ook een losgeldcomponent die aanvallers soms hebben ingezet.