O grupo de ciberespionagem “The Mask” (ou Careto), ativo desde 2007, voltou a operar em ataques sofisticados contra uma organização na América Latina em 2019 e 2022. Especializado em alvos estratégicos como governos e instituições de pesquisa, o grupo utiliza um arsenal de malware compatível com Windows, macOS, Android e iOS. De acordo com a Kaspersky, o ataque começa com e-mails de phishing contendo links que exploram vulnerabilidades zero-day, como o CVE-2012-0773, infectando os sistemas das vítimas.

Após isso, os usuários são redirecionados para sites legítimos, como YouTube, para ocultar a atividade maliciosa. Em 2022, os invasores usaram o componente WorldClient do servidor de e-mail MDaemon para se manter na rede. Explorando extensões personalizadas, eles configuraram arquivos maliciosos para executar comandos, interagir com o sistema e espalhar o malware FakeHMP. Esse malware foi implantado por meio do driver legítimo “hmpalert.sys” do HitmanPro Alert, que possui falhas na verificação de DLLs, permitindo sua utilização para comprometer processos privilegiados.

Além do FakeHMP, que permite roubo de dados e gravações de microfone, o grupo usou ferramentas adicionais para capturar teclas digitadas e transferir arquivos. Já em 2019, atacaram a mesma organização com dois frameworks: o Careto2, que monitora arquivos, captura telas e exfiltra dados para o OneDrive, e o Goreto, que utiliza o Google Drive para enviar e receber comandos. Os ataques recentes, incluindo casos observados em 2024, mostram a habilidade do grupo em desenvolver técnicas inovadoras e reforçam seu status como uma das ameaças mais avançadas na área de ciberespionagem.