A Symantec bejelentette, hogy egy 2011 óta működő, professzionális támadócsoportot azonosítottak, melynek a Dragonfly nevet adták. A cég megerősítette, hogy ezek a crackerek állnak az amerikai és európai energiaszektorban működő számos vállalat folyamatirányító rendszere elleni kifinomult támadás mögött. A Symantec Internet Security Threat Reportja (ISTR) szerint a célzott támadásoknak leginkább a bányászati szektor van kitéve (a támadás esélye 1:2,7), amely magába foglalja az olaj-, a gáz- és egyéb energiaipari vállalatokat is.

A jelentés szerint az „Energetic Bear” néven is ismert csapat felkészültségét és a támadások kifinomultságát tekintetbe véve nem kizárt, hogy állami támogatás áll mögöttük – a célok között a kritikus infrastruktúrák olyan elemei, egységei szerepelnek, amelyek kompromittálásával különösen nagy kárt lehet okozni az adott vállalatnál, létesítménynél.

A biztonsági szakemberek a legalább 2011 óta aktív, a Symantec által 2012 óta megfigyelt csoport tevékenységének nyomait, a fertőzéseket sok helyen megtalálták: a támadások fele az Egyesült Államokban és Spanyolországban található vállalatok ellen irányult, de érintettek Franciaország, Görögország, Lengyelország, Németország, Olaszország, Románia, Szerbia és Törökország hasonló vállalatai is. Célpont a Siemens Iránban (a szintén a Symantec által feltárt Stuxnet működése folytán) kompromittálódott, az ipari folyamatirányításban használt felügyeleti, vezérlő és adatgyűjtő, úgynevezett SCADA-rendszere is, de ez csak az egyik a megtámadottak közül.

A jelentés leírja, hogy a már más ügyekben is előkerült támadók „normál munkaidőben” dolgoznak, hétfőtől péntekig, mégpedig a kelet-európai időzóna szerint reggel kilenc és délután hat között munkálkodnak (erre alapozzák az orosz kapcsolatot).

A csoport állítólag már korábban is támadott fontos (katonai, ipari) rendszereket, az energiaipar ellen indított kampányukban a szakértők három fertőzési módszert azonosítottak: egyrészt fertőzött, de igen jól álcázott adathalász malware-t tartalmazó e-mailekkel bombázzák a célpontot. A második metódus szerint elcsalogatják a levelek címzettjeit exploitokat rejtő weboldalakra. De a harmadik a legizgalmasabb biztonsági szempontból: közvetlenül az ICS- (industrial control system) rendszereket gyártókat támadják meg, hogy a malware-eket még az eladás előtt elhelyezzék a szoftverekben: a fertőzést maga a cég végzi el az ICS feltelepítésekor (egy esetet megemlítenek: amikor a kereskedő felfedezte, hogy kompromittálódott az általa forgalmazott rendszer, akkor már 250 helyen letöltötték a programokat). De a tárház még tágasabb: a támadók igyekeznek az ilyen ipari rendszerekben alkalmazott egyes eszközöket is megfertőzni még a gyártás folyamán.

Az állami támogatást csak feltételezik, de Eric Chien, a Symantec vezető kutatója szerint elképzelésük megalapozott, ám azt nem lehet tudni, hogy közvetlenül állami munkát végeznek-e, vagy pedig arról van szó, hogy a crackercsoport megmutatja tudását, és ezt később szeretné jó pénzért eladni a lehetséges megrendelő kormányzatoknak. Ugyancsak ő mondta el egy interjúban, hogy roppant felkészült informatikusokról van szó, akik nem egyszerűen információszerzés céljából hatolnak be a rendszerekbe, de olyan eszközeik is vannak, amelyekkel akár konkrét szabotázsokat is végre tudnak hajtani – és ezt a Symantec szakértője roppant aggasztónak nevezte.