A Kaspersky Lab globális kutató- és elemzőcsapata, a Great feltárta egy kémcsoport működését. A jelentés szerint a Desert Falcons egy olyan kiberkémekből álló csapat, amely elsősorban a Közel-Kelet nagy befolyású szervezeteit célozza, de független személyek is vannak az áldozataik között. A szakértők szerint ők az első ismert arab csoport, akik teljes körű kiberkémkedési műveleteket fejlesztenek és hajtanak végre.
A jelentés szerint a Desert Falcons 2011-ben kezdte a hadműveletek fejlesztését; a fő támadásuk és a valódi fertőzés 2013 elejére tehető. Tevékenységük csúcsát 2015 elején mérték. A Windows PC-ket és az androidos eszközöket célzó támadásokhoz saját rosszindulatú eszközeiket használták. A Kaspersky Lab szakértőinek jó okuk van azt hinni, hogy a Desert Falcons mögött álló támadók arab anyanyelvűek.
Az áldozatok között katonai és állami szervezetek is vannak: például a pénzmosás ellen küzdő alkalmazottak; az egészségügyi és üzleti szektor munkatársai; vezető médiumok; kutatási és oktatási intézmények; energetikai és közüzemi szolgáltatók; aktivisták és politikai vezetők; biztonsági cégek; egyéb olyan célpontok, akik fontos geopolitikai információk birtokában lehetnek.
A Kaspersky szakértői összesen több, mint 50 ország 3000 áldozatát tudták azonosítani; az ellopott fájlok száma meghaladja az egymilliót. Bár a Desert Falcons tevékenysége elsősorban Egyiptomra, Palesztinára, Izraelre és Jordániára korlátozódott, számos áldozatra bukkantak Katar, Szaúd-Arábia, az Egyesült Arab Emírségek, Algéria, Libanon, Norvégia, Törökország, Svédország, Franciaország, az Egyesült Államok, Oroszország, és más országok területén is.
A Falcons csoport fő módszere az volt, hogy a rosszindulatú programot adathalász oldalak segítségével terjesztették, e-mailen, közösségimédia-felületek bejegyzésein és csetüzeneteken keresztül. Az adathalász üzenetek tartalmazták a rosszindulatú fájlokat (vagy az azokra vezető linket) valós dokumentumnak vagy alkalmazásnak álcázva.
A Desert Falcons különböző technikákkal próbálta rávenni az áldozatokat a rosszindulatú fájlok futtatására. Az egyik legjellemzőbb módszer az úgynevezett kiterjesztést felcserélő trükk volt. Ez a módszer a Unicode egy speciális karakterét használja ki, és annak segítségével felcseréli a fájl nevének karaktereit, ezáltal a veszélyes fájl kiterjesztése a fájlnév közepére kerül, az ártalmatlannak tűnő kiterjesztés pedig a végére. Ezzel a technikával a rosszindulatú fájl (.exe vagy .scr kiterjesztéssel) ártalmatlan dokumentumfájlnak tűnik, így még az óvatos felhasználókat is megtévesztheti.
Egy áldozat sikeres megfertőzése után egy vagy két különböző backdoort alkalmaznak: a fő Desert Falcons trójait vagy a DHS backdoor-t, amelyeket látszólag a semmiből fejlesztették, és folyamatos fejlesztés alatt állnak. A Kaspersky Lab szakértői összesen több, mint 100 malware-mintát tudtak azonosítani a csoport támadásaiban.
A használt rosszindulatú eszközöknek teljes backdoor funkciója is van: többek között tudnak képernyőfotókat készíteni, és az sem okoz nehézséget, hogy a billentyűleütéseket rögzítsék, fájlokat töltsenek fel és le, illetve hozzáférjenek az áldozatok merevlemezén vagy csatolt USB eszközén tárolt Word- és Excel-fájlok adataihoz is. A Kaspersky egy olyan malware nyomait is megtalálta, ami az Android platformon használható mobilhívások és sms-naplók ellopására is.