El grupo Equation utilizó un portafolio de implantes o troyanos de nueva generación para infiltrar exitosamente miles de agencias gubernamentales y compañías privadas.

Investigadores de Kaspersky Lab descubrieron a Equation, advirtieron que miles, si no es que decenas de miles de sistemas fueron blanco de esta campaña de espionaje. Entre las víctimas se encuentran diferentes gobiernos, instituciones diplomáticas, cuerpos militares, activistas islámicos, investigadores, así cómo empresas de telecomunicaciones, agencias aeroespaciales, compañías de los sectores energético, de petróleo, gas, investigación nuclear, nanotecnología, transporte, finanzas, medios y firmas de cifrado.

Las herramientas utilizadas por este grupo se encuentran entre las más avanzadas de las que se tiene registro e incluso se las ha denominado como la "Estrella de la Muerte" del malware. Entre las herramientas usadas por Equation se encuentran EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy y GrayFish. Los investigadores de Kaspersky creen que aún hay herramientas que no han salido a la luz.

Sin embargo, los más perturbador  es que algunas de esas herramientas comparten características con los APT Stuxnet y Flame, además son capaces de instalar malware en discos duros de diferentes marcas comerciales creando áreas especiales que permiten que el malware sobreviva al formateo de discos y a la reinstalación del sistema operativo.

De acuerdo a Costin Raiu, director del equipo de análisis e investigación global de Kaspersky, la habilidad de infectar el disco duro supone un grave peligro ya que "una vez que el disco duro es infectado con el payload malicioso es imposible escanear el firmware". Para ponerlo simple: la mayoría de discos tiene funciones para escribir en el área de hardware/firmware pero no hay funciones de lectura. Esto significa que estamos prácticamente ciegos y no podemos detectar discos que han sido infectados con este malware.

Una de las herramientas de esta Estrella de la Muerte del malware es GrayFish, que permite crear un área invisible y persistente en los discos duros para almacenar información robada antes de ser recolectada por los atacantes. También puede ser usada para romper protocolos de cifrado.

"Tomando en cuenta que el implante GrayFish se encuentra activo desde el arranque del sistema, es posible capturar la contraseña de cifrado y almacenarla en el área oculta."

Otra herramienta en el portafolio de Equation es Fanny, este malware utiliza un mecanismo único para propagarse basado en la interfaz USB. El método de ataque utiliza memorias flash USB infectadas y crea un área de almacenamiento oculta que recolecta información de la víctima y la reenvía a los servidores de comando y control (C&C) cuando existe una conexión activa a Internet.

Kaspersky identificó que Fanny hace uso de dos exploits de día cero, mismos que son utilizados por Stuxnet y Flame, dos piezas de malware tan complejas que se cree fueron patrocinadas por algún gobierno. Esta relación ha generado rumores que apuntan a la NSA (la Agencia de Seguridad Nacional de los Estados Unidos) y su participación en la creación de Equation.

Sin embargo, un portavoz de la NSA comentó al sitió de tecnología V3 que la agencia está al tanto de Equation pero declinó hacer comentarios sobre las especulaciones que los ligan con el grupo:

"Estamos al tanto de la reciente publicación del reporte. No vamos a comentar públicamente sobre ninguna declaración que el reporte plantee o a discutir algún detalle."

La infraestructura de servidores de comando y control está distribuida geográficamente e incluye más de 300 dominios y más de 100 servidores en los Estados Unidos, Reino Unido, Italia, Alemania, Países Bajos, Panamá, Malasia, Colombia y la República Checa, entre otros.