ESET, Lunar araç setinin en az 2020'den beri kullanıldığına inanıyor. ESET araştırmacıları taktikler, teknikler ve prosedürler ile geçmiş faaliyetler arasındaki benzerlikler göz önüne alındığında bu tehlikeleri kötü şöhretli Rusya'ya bağlı siber casusluk grubu Turla'ya atfediyor. Kampanyanın amacı siber casusluk. 

 

Tanımlanamayan bir sunucuda konuşlandırılan ve bir dosyanın şifresini çözüp yük yükleyen bir yükleyicinin ESET Research tarafından tespit edilmesiyle süreç başladı. Bu, ESET araştırmacılarını, ESET'in LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapının keşfine götürdü. Daha sonra, diplomatik bir misyonda konuşlandırılmış LunarWeb ile benzer bir zincir tespit edildi. Saldırganın, komuta ve kontrol (C&C) iletişimi için farklı bir yöntem kullanan ve ESET'in LunarMail olarak adlandırdığı ikinci bir arka kapıya da yer vermesi dikkat çekti. Başka bir saldırı sırasında ESET, LunarWeb'li bir zincirin, bir Avrupa ülkesinin Orta Doğu'daki üç diplomatik misyonunda, birbirlerinden birkaç dakika içinde eşzamanlı olarak konuşlandırıldığını gözlemledi. Saldırgan muhtemelen dışişleri bakanlığının etki alanı denetleyicisine önceden erişmiş ve bunu aynı ağdaki ilgili kurumların makinelerine yanal hareket için kullanmıştı.

Sunucularda konuşlandırılan LunarWeb, C&C iletişimleri için HTTP(S) kullanır ve meşru istekleri taklit ederken iş istasyonlarında konuşlandırılan LunarMail, bir Outlook eklentisi olarak varlığını sürdürür ve C&C iletişimleri için e-posta mesajlarını kullanır. Her iki arka kapı da tespit edilmekten kaçınmak için komutların görüntülere gizlendiği bir teknik olan steganografi kullanmakta. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atı haline getirilmiş açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir.