Группировка Stealth Falcon, специализирующаяся на кибершпионаже, действует с 2012 года и нацелена на политических активистов и журналистов на Ближнем Востоке. В 2016 году некоммерческая организация Citizen Lab, занимающаяся вопросами безопасности и прав человека, опубликовала отчет о деятельности кибергруппировки. В январе 2019 года информагентство Reuters опубликовало отчет о расследовании в отношении подразделение под названием Project Raven, состоящего из сотрудников спецслужб ОАЭ и бывших агентов разведки США, у которого были схожие цели с Stealth Falcon.
В предыдущих атаках группировка Stealth Falcon использовала бэкдор, написанный на языке PowerShell, однако затем переключилась на новый инструмент, получивший название Win32/StealthFalcon (по классификации ESET). Вредоносная программа использует систему Windows BITS для связи и взаимодействия с C&C-сервером. Бэкдор позволяет преступникам загружать и запускать дополнительный код на зараженных системах, извлекать данные и отправлять на подконтрольные злоумышленникам удаленные серверы.
Для связи с удаленным сервером бэкдор использует не классические HTTP- или HTTPS-запросы, а трафик BITS. По мнению специалистов, таким образом злоумышленники обходят межсетевые экраны, поскольку, как правило, защитные средства не запрещают трафик BITS.
Background Intelligent Transfer Service (BITS) — служба фоновой интеллектуальной передачи файлов между клиентом и HTTP-сервером, которая задейстувует неиспользуемую часть пропускной способности сети. С помощью предустановленной службы BITS Microsoft отправляет обновления Windows пользователям по всему миру.