Kenkėjų veiksmai pirmiausia buvo nukreipti į valstybines organizacijas, diplomatų biurus ir ambasadas, energijos, naftos ir dujų bendroves, tyrimų organizacijas bei politinius veikėjus.
Remiantis „Kaspersky Lab“ skaičiavimais, tikslinės atakos buvo vykdomos 31 pasaulio šalyje, įskaitant Artimuosius Rytus, Europą, Afriką ir Ameriką. Jos buvo nukreiptos į 380 taikinių.
Pagrindinis atakuojančiųjų tikslas – vertingos informacijos iš užkrėstų sistemų surinkimas, įskaitant įvairius dokumentus, šifravimo raktus, VPN nustatymus, naudojamus vartotojui identifikuoti serveryje, SSH raktus, taip pat failus, naudojamus užtikrinti nuotolinę kompiuterio prieigą.
„Kelios priežastys verčia manyti, kad tai gali būti valstybės palaikoma kampanija. Pirmiausia, matome itin aukštą profesionalumo lygį – grupė stebi savo infrastruktūrą, slepiasi taikydama prieigos kontrolės sistemos taisykles, visiškai ištrina įvykių žurnalo turinį, o prireikus sustabdo bet kokius veiksmus. Tokia savisauga nebūdinga kibernetiniams nusikaltėliams. Pagal sudėtingumo lygį „The Mask“ nustelbia „Dugu“ – galima teigti, kad šiuo metu tai sudėtingiausia tokios klasės grėsmė“, – paaiškino Costinas Raiu, „Kaspersky Lab“ globalaus tyrimo centro vadovas.
Virusai perima komunikacijos kanalus ir renka svarbiausią informaciją iš vartotojo kompiuterio. Užkrėtimą labai sunku pastebėti dėl slėpimo mechanizmų ir papildomų kibernetinio šnipinėjimo modulių. Be to, prie esamų funkcijų kenkėjai į užkrėstą kompiuterį gali atsiųsti modulių, leidžiančių atlikti bet kokius kenkėjiškus veiksmus.
Atlikus tyrimą paaiškėjo, kad šių programų autoriams ispanų kalba yra gimtoji – to niekada anksčiau nebuvo pastebėta tokio lygio atakose. Tyrimas parodė, kad operacija „The Mask“ aktyviai vykdyta apie penkerius metus – iki 2014 m. sausio. Tyrimo metu apgavikai sustabdė savo valdomus serverius.
Vartotojų įrenginiai buvo užkrečiami siunčiant netikrus laiškus su nuorodomis į kenkėjiškus resursus. Šiuose tinklalapiuose buvo daugybė eksploitų, kurie pagal vartotojo sistemos konfigūraciją taikė įvairius kompiuterio atakų būdus. Užkrėtimo atveju kenkėjiškas tinklalapis nukreipė vartotoją į nekaltą svetainę – „YouTube“ ar naujienų tinklalapį.
Šiuo metu „Kaspersaky Lab“ produktai atpažįsta ir pašalina visas žinomas „The Mask“ programų versijas.