總部位於斯洛伐克的網絡安全公司ESET 近日發現了一個由政府資助的黑客組織–XDSpy。該組織非常低調和隱秘，直到今年年初的黑客浪潮中才出現顯露出來，此前已經隱秘運行9 年多時間。

在Virus Bulletin 2020 安全會議的演講中，ESET 研究人員首次詳細介紹了該小組的運作。ESET表示，該組織的主要重點是偵察和文件盜竊。它的目標是東歐和巴爾乾地區的政府機構和私人公司。根據ESET遙測數據，目標國家包括白俄羅斯，摩爾多瓦，俄羅斯，塞爾維亞和烏克蘭，但其他XDSpy 操作可能仍未被發現。

ESET 表示，在CERT 白俄羅斯小組發出的安全警報中檢測到並詳細描述了其中一個活動之後，該組織快速取消了這種活動的運營。ESET 表示，使用此安全警報作為初步線索，它能夠發現過去的XDSpy操作。兩位負責對XDSpy 進行調查的ESET 安全研究人員Matthieu Faou 和Francis Labelle 說，該組織的主要工具是一個名為XDDown 的惡意軟件工具箱。

Faou 表示這款惡意軟件工具箱雖然不是最先進的，但是足以感染受害者並幫助該組織從受感染目標中收集敏感數據。ESET 將XDDown 描述為“下載器”，用於感染受害者，然後下載執行各種專門任務的輔助模塊。

這阻止了安全工具將XDDown本身檢測為惡意軟件，但也允許該惡意軟件具有一些非常高級的功能。XDDown模塊包括：

XDREcon-一個模塊，用於掃描受感染的主機，收集技術規格和操作系統詳細信息，並將數據發送回XDDown / XDSpy命令和控制服務器。

XDList-一個模塊，用於在受感染的計算機中搜索具有特定文件擴展名的文件（與Office相關的文件，PDF和地址簿）。

XDMonitor-一個模塊，用於監視將哪種設備連接到受感染的主機。

XDUpload-接收由XDList標識的文件並將其上傳到XDXpy服務器的模塊。

XDLoc-收集有關附近WiFi網絡的信息的模塊，據信該信息已被用來使用公共WiFi網絡的地圖跟踪受害者的活動。

XDPass-從本地安裝的瀏覽器提取密碼的模塊。