Telemetrijos duomenimis, grupė taikosi į užsienio šalių ambasadas Baltarusijoje. Konkrečiau įvardintos keturios šalys, į kurių ambasadų darbuotojus buvo nukreiptos atakos: dvi Europoje, viena Pietų Azijoje ir viena iš Afrikoje. Kaip teigiama, labai tikėtina, kad „MoustachedBouncer“ yra susijusi su Baltarusijos politiniais interesais, todėl šnipinėja tik užsienio ambasadas Baltarusijoje. „MoustachedBouncer“ naudoja pažangius valdymo ir kontrolės (angl. Command & Control, C&C) ryšių metodus, įskaitant tinklo perėmimą interneto paslaugų tiekėjo lygmeniu naudojantis specialia kenkėjiškų programų šeima, pavadinta Disco bei el. laiškams ir DNS skirtu įskiepiu vadinamu Nightclub.
Nors tyrėjai seka „MoustachedBouncer“ kaip atskirą grupę, buvo aptikta elementų, kurie leidžia spėti, kad ji bendradarbiauja su kita aktyvia šnipinėjimo grupe „Winter Vivern“, kuri 2023 m. taikėsi į kelių Europos šalių, tarp jų Lenkijos ir Ukrainos, vyriausybinius darbuotojus.
Norėdami pakenkti savo taikiniams, „MoustachedBouncer“ programišiai suklastoja savo aukų interneto prieigą, apsimesdami interneto paslaugų tiekėju, kad Windows sistema patikėtų, jog tai privatus, saugus portalas. „MoustachedBouncer“ taikiniais pasirinktų IP adresų tinklo srautas nukreipiamas į iš pažiūros teisėtą, bet suklastotą „Windows Update“ puslapį“, – sako naują grėsmių grupę aptikęs tyrėjas Matthieu Faou. „Šis AitM metodas taikomas tik prieš kelias pasirinktas organizacijas, veikiausiai tik prieš ambasadas, o ne prieš visą šalį. AitM scenarijus primena „Turla“ ir „StrongPity“ programišių grupuotes, kurios greitai ir be jokio išankstinio pasiruošimo, apsimesdamos interneto paslaugų tiekėju, diegdavo Trojos arklių kenkėjišką programinę įrangą.“
„Nors negalima visiškai paneigti, kad siekiant vykdyti AitM atakas ambasadų tinkluose buvo pažeisti maršrutizatoriai, teisėtas duomenų perėmimas Baltarusijoje leidžia manyti, kad duomenų srautas buvo keičiamas interneto paslaugų teikėjų, o ne taikinių maršrutizatorių lygmeniu“, – aiškina tyrėjas.
Nuo 2014 m. „MoustachedBouncer“ naudojamos kenkėjiškų programų šeimos evoliucionavo, o didelis pokytis įvyko 2020 m., kai grupuotė pradėjo naudoti AitM atakas. „MoustachedBouncer“ lygiagrečiai naudoja dvi įskiepių šeimas, tačiau konkrečiame kompiuteryje vienu metu diegiama tik viena jų. „ESET“ mano, kad „Disco“ naudojamas kartu su AitM atakomis, o „NightClub“ naudojamas aukoms, kai duomenų srauto perėmimas interneto paslaugų teikėjo mastu nėra įmanomas dėl poveikio sušvelninimo priemonių, pavyzdžiui, naudojant šifruotą VPN ryšį, kai interneto srautas nukreipiamas už Baltarusijos ribų.
„Pagrindinė išvada – organizacijos, esančios užsienio šalyse, kuriose negalima patikimai naudotis internetu, norėdamos apeiti bet kokius tinklo tikrinimo įrenginius, visam savo interneto srautui turėtų naudoti šifruotą VPN ryšį ir nukreipti jį į patikimą vietą. Jos taip pat turėtų naudoti aukščiausios kokybės atnaujintą kompiuterių saugumo programinę įrangą“, – pataria Faou.
„NightClub“ įskiepis duomenų išviliojimui naudoja nemokamas el. pašto paslaugas, t. y. Čekijos – Seznam.cz ir Rusijos el. pašto paslaugų teikėją Mail.ru. Tyrėjai mano, kad užpuolikai susikūrė savo el. pašto paskyras, užuot įsilaužę į jau egzistuojančias.
Ši grėsmių grupė daugiausia dėmesio skiria failų vagystei ir diskų, įskaitant išorinius, stebėjimui. „NightClub“ galimybės taip pat apima garso įrašymą, ekrano nuotraukų darymą ir klaviatūros klavišų paspaudimų registravimą. Tyrėjų manymu, „MoustachedBouncer“ AitM operacijų vykdymui naudoja „teisėtą pasiklausymo sistemą“. Teisėtas pasiklausymas – tai telekomunikacijų ir telefono tinklų priemonės, leidžiančios teisėsaugos institucijoms, turinčioms teismo įsakymus ar kitus teisinius leidimus, pasirinktinai pasiklausyti atskirų abonentų pokalbių.
