El informe explica que los atacantes iniciaron la infección con el hackeo de los proveedores de software para los sistemas de control industrial (ICS) de las empresas del sector. Posteriormente, Dragonfly aprovechó las actualizaciones oficiales ofrecidas por estas compañías para instalar troyanos de acceso remoto en los sistemas de múltiples operadores de red eléctrica, generadores, oleoductos y proveedores de equipamiento industrial.
Symantec señala que "la mayoría de las víctimas se encuentran en Estados Unidos, España, Italia, Alemania, Turquía y Polonia", pero ofrece un gráfico que sitúa a nuestro país en el primer puesto en número de infecciones activas, con un 27% del total. En segundo lugar se encuentra Estados Unidos con un 24%, seguido de Francia con 9% e Italia con un 8%.
"Esta campaña sigue los pasos de Stuxnet, que fue la primera gran campaña de malware en apuntar a sistemas ICS", reza el informe de Symantec. "Mientras Stuxnet apuntaba de forma concreta al programa nuclear iraní y tenía el sabotaje como objetivo principal, Dragonfly parece contar con un enfoque mucho más amplio con el espionaje y el acceso persistente como su objetivo actual, y con el sabotaje como una capacidad opcional en caso de ser necesaria".
El grupo de hackers lleva en activo al menos desde 2011, apuntando inicialmente hacia empresas norteamericanas del sector de la aviación y la defensa antes de poner el punto de mira sobre las energéticas. La firma de seguridad considera que la metodología del ataque denota una operación apoyada por un gobierno. Asimismo, Symantec señala trazas en el código del software que sitúan a Dragonfly en Europa Oriental, un dato que FT ha concretado hasta Rusia.