Специалисты Лаборатории Касперского раскрыли активность группировки DoNot Team. В частности, было выявлено использование нового бэкдора на базе .NET под названием Firebird, затронувшего лишь небольшое число жертв в Пакистане и Афганистане.
В цепочке атак также был обнаружен загрузчик, получивший название CSVtyrei. Исследователи безопасности отметили, что некоторый код в образцах оказался нефункциональным, что указывает на то, что загрузчик ещё находится на стадии разработки.
Специалисты предполагают, что загрузчик CSVtyrei является обновлённой версией Vtyrel (BREEZESUGAR) – загрузчика, ранее используемого группировкой для доставки фреймворка RTY1, который является преемником фреймворка YTY. YTY позволяет извлекать информацию о жертве, включая файлы с заданными расширениями, перехваченные строки ввода, список процессов, скриншоты.
DoNot Team (APT-C-35, Origami Elephant, SECTOR02) предположительно происходит из Индии и активна как минимум с 2016 года. В своих атаках группа использует специализированные фишинговые письма и поддельные Android-приложения для распространения вредоносного ПО. В октябре 2021 года правозащитная организация Amnesty International обнаружила свидетельства, связывающие инфраструктуру группировки с индийской ИБ-компанией.