Mặc dù nó chủ yếu ảnh hưởng đến lãnh đạo ở các khách sạn sang trọng ở
châu Á, nhưng nó có thể cũng phổ biến ở nơi khác. Nhìn chung, nhóm
DarkHotel thường tiến hành tấn công spear phishing cấp thấp cho các đối
tượng hàng loạt, còn những cuộc tấn công ở khách sạn là nhắm đến những
mục tiêu cao cấp, chẳng hạn lãnh đạo trong các lĩnh vực năng lượng hạt
nhân và quốc phòng.
Một phân tích ban đầu cho rằng DarkHotel xuất phát từ Hàn Quốc. Một
keylogger – tức phần mềm độc hại dùng để ghi lại các thao tác gõ phím trên
thiết bị mà nó tấn công – dùng trong các cuộc tấn công có chứa các ký tự
tiếng Hàn bên trong mã. Và zero-day – lỗ hổng trong phần mềm mà những
người muốn vá nó không biết đến – là những lỗi rất tiên tiến mà trước đây
chưa được biết tới. Hơn nữa, người ta đã truy ra rằng một tên Hàn Quốc
được xác định trong keylogger bắt nguồn từ các keylogger tinh vi khác được
người Hàn Quốc sử dụng trước đây.
Tuy nhiên, cần lưu ý rằng điều này là không đủ để xác nhận kết luận trên.
Phần mềm có thể được cắt và dán từ nhiều nguồn khác nhau. Ngoài ra, có
thể thiết kế để phần mềm được tạo ra ở quốc gia A lại trông có vẻ như đến
từ quốc gia B.
Để cài được phần mềm độc hại trên máy tính xách tay, DarkHotel sử dụng
các chứng chỉ giả mạo trông có vẻ được phát hành từ chính phủ Malaysia và
Deutsche Telekom. Nếu bạn nhớ những nội dung đã nhắc đến trong Chương
5, chứng chỉ được sử dụng để xác minh nguồn gốc của phần mềm hoặc máy
chủ Web. Để tiếp tục che giấu kỹ hơn công việc của mình, các hacker đã sắp
xếp để phần mềm độc hại nằm im trong tối đa sáu tháng trước khi phát tác.
Điều này là để ngăn đội ngũ IT có thể nghi ngờ một truy cập là một vụ lây
nhiễm.
Kaspersky chỉ biết đến vụ tấn công này khi một nhóm khách hàng của họ bị
lây nhiễm sau lần lưu trú tại một số khách sạn sang trọng ở châu Á. Các nhà
nghiên cứu đã chuyển sang một máy chủ Wi-Fi của bên thứ ba chung cho cả
hai, và máy chủ Wi-Fi hợp tác với công ty chống virus để tìm hiểu những gì
