Фонд электронных рубежей (EFF) совместно с компанией Lookout, занимающейся вопросами сетевой безопасности, объявили об обнаружении шпионской платформы Dark Caracal (степная рысь), которую некие неизвестные пока разработчики предлагает правительствам разных стран для шпионажа и слежки за собственными гражданами. На данный момент известно, что платформу использует Директорат общей безопасности Ливана - разведывательное агентство, которое уже вытянуло гигабайты информации из мобильных устройств на базе Android и ПК на базе Windows. Ранее ту же инфраструктуру предположительно использовало правительство Казахстана в рамках своей "Операции "Манул", направленной, по данным EFF, против журналистов, политических активистов и членов их семей. Описание операции было представлено ещё в 2016 году на конференции Black Hat. По мнению экспертов EFF и Lookout, существует некая "третья сторона", которая занималась разработками платформы, а затем стала сдавать ее в аренду. В настоящее время EFF и Lookout пытаются установить подлинных авторов Dark Caracal. Очевидно, какие-то сведения по этому поводу у них уже есть, но они хотят убедиться в правильности своих выводов. К лету 2018 г. ими обещана новая публикация по этой теме. К настоящему моменту Dark Caracal использовался в том или ином виде для шпионажа и хищения данных у тысяч жертв в 21 странах мира, - личных документов, записей звонков, аудиозаписей, текстовых сообщений, контактных данных, а также фотографий военных объектов, правительственных учреждений и коммерческих предприятий. Большая часть целей платформы приходится на Ближний Восток, но затронуты также США, Западная Европа, Китай и Северная Африка. После публикации EFF досье на "Операцию "Манул" в 2016 г. Lookout обнаружили ещё один компонент платформы Dark Caracal - вредоносную программу для Android под названием Pallas, используемый для захвата контроля над смартфонами. Pallas распространяется вместе с фальшивыми клиентами WhatsApp и Signal (устанавливаемыми из неофициальных магазинов). Pallas не использует никаких неизвестных уязвимостей, полагаясь целиком на доверчивость пользователей. После установки на устройство, Pallas может выполнять множество разных функций - от записи аудио, до перекачивания данных на смартфоны операторов трояна. Кроме того, исследователи обнаружили ещё одно средство слежения - FinFisher, ранее неизвестную разновидность шпионского инструмента, разработанного европейскими компаниями, специализирующимися на "законных" инструментах для слежки. Пока неизвестно, был ли он приобретен создателями Dark Caracal официально, или это взломанная и модифицированная демо-версия. Для десктопов Dark Caracal использует троянец Bandook, распространяемый с помощью поддельных сертификатов безопасности и Word-файлов с вредоносными макросами. Bandook в случае необходимости скачивает и другие вредоносные программы с удаленных серверов.