Злоумышленники использовали сложные методы социальной инженерии и уникальное вредоносное программное обеспечение для проникновения в корпоративные сети провайдеров.
Активная фаза операции началась в сентябре 2025 года в Кыргызстане, где хакеры рассылали сотрудникам компаний фишинговые письма под видом потенциальных клиентов. Открытие вложений активировало скрытые скрипты и программу-бэкдор LuciDoor, позволявшую злоумышленникам похищать данные и закрепляться в системе. Позднее, в ноябре, группировка применила более гибкий инструмент MarsSnake, а в январе 2026 года география атак расширилась на территорию Таджикистана.
Технический анализ выявил необычные следы, указывающие на сложный характер группировки: несмотря на использование русского и английского языков в документах прикрытия, программный код содержал маркеры китайского и арабского языков. В связи с выявленными угрозами эксперты рекомендовали телекоммуникационным компаниям региона усилить контроль за сетевым трафиком и внедрить продвинутые системы анализа конечных устройств для защиты от фишинга.
