Od kilku lat wciąż otrzymujemy kolejne raporty ze szczegółami działań hakerów stojących za wieloma ukierunkowanymi incydentami lub zaawansowanymi atakami o długotrwałym działaniu (APT). Pracownicy działu Security Response firmy Symantec obserwują pewną grupę, która ich zdaniem należy do najlepszych zespołów hakerów działających z Chin. Nazwano ją „Hidden Lynx” (pl. ukryty ryś) w nawiązaniu do łańcucha znaków, który znaleziono w jej komunikacji z serwerem sterującym C&C. Ambicja i determinacja tej grupy jest większa niż w przypadku wszystkich innych znanych zespołów, takich jak APT1/Comment Crew. Oto najważniejsze cechy charakteryzujące grupę Hidden Lynx:
umiejętności techniczne,
elastyczność,
organizacja,
duża zaradność,
cierpliwość.
Atrybuty te pojawiają się w kampaniach grupy, prowadzonych przez dłuższy czas przeciwko wielu celom równocześnie. Hakerzy z Hidden Lynx są pionierami techniki „wodopoju” (ang. watering hole) stosowanej do zastawiania pułapek na cel. Dysponują też szybkim dostępem do informacji o nowo odkrytych lukach klasy zero-day, a przy tym cechują się nieustępliwością i cierpliwością inteligentnych myśliwych, którzy atakują łańcuch dostaw, aby dotrzeć do swojego prawdziwego celu. W ramach ataków infekowane są komputery u dostawcy obiektu docelowego. Atakujący czeka potem na instalację zainfekowanego sprzętu i nawiązanie komunikacji z bazą. To działania przygotowane ze staranną kalkulacją, a nie spontaniczne wypady amatorów.
Grupa nie ogranicza się do garstki celów, atakuje — nierzadko jednocześnie — setki różnych organizacji w wielu różnych krajach. Ze względu na zakres oraz liczbę celów i krajów objętych atakami wnioskuje się, że jest to najprawdopodobniej grupa zawodowych hakerów do wynajęcia, angażowanych przez klientów, którzy chcą zdobyć określone informacje. Na życzenie kradną wszystko, czym zainteresowani są ich zleceniodawcy, stąd duża różnorodność i zakres atakowanych obiektów.
Eksperci firmy Symantec uważają również, że do przeprowadzania ataków o takiej skali grupa musi dysponować znaczną liczbą członków wyspecjalizowanych w tej działalności. Może tu chodzić o 50–100 osób, podzielonych, na co najmniej dwa odrębne zespoły, którym powierzane są różne zadania wykonywane za pomocą odmiennych narzędzi i technik. Na przeprowadzenie tego typu ataków potrzeba wiele czasu i wysiłku, niektóre kampanie wymagają też badań i gromadzenia informacji przed przeprowadzeniem skutecznego natarcia.
W pierwszej linii tej grupy znajduje się zespół, który stosuje narzędzia jednorazowego użytku wraz z podstawowymi, lecz skutecznymi technikami do atakowania wielu różnych celów. Jego członkowie mogą zajmować się też gromadzeniem informacji. Nazywamy tę ekipę „Zespołem Moudoor” od nazwy stosowanej przez nią konia trojańskiego. Moudoor to wirus wykorzystujący furtkę w zabezpieczeniach, stosowany swobodnie przez ten zespół bez obaw o wykrycie przez firmy zajmujące się zabezpieczeniami. Drugi zespół pełni rolę jednostki do zadań specjalnych, elitarnej grupy włamującej się do najcenniejszych lub najlepiej strzeżonych danych. Korzysta on z konia trojańskiego o nazwie Naid, dlatego nazywamy go „Zespołem Naid”. W przeciwieństwie do oprogramowania Moudoor koń trojański Naid jest używany oszczędnie i z zachowaniem odpowiednich środków ostrożności, aby uniknąć wykrycia i schwytania — jak tajna broń używana tylko wtedy, gdy porażka jest nie do przyjęcia.
Od roku 2011 odnotowano, co najmniej sześć istotnych kampanii przeprowadzonych przez tę grupę. Wśród nich najbardziej zwraca uwagę atak VOHO z czerwca 2012 r. Szczególnie interesującą cechą tego ataku było zastosowanie techniki wodopoju i włamanie do infrastruktury podpisującej pliki zaufanymi certyfikatami w firmie Bit9. Kampania VOHO docelowo była ukierunkowana na amerykańskie firmy zbrojeniowe. Ich systemy były jednak chronione przez oprogramowanie Bit9, które działa w oparciu o listę zaufanych plików. Gdy hakerzy z grupy Hidden Lynx natknęli się przez tę przeszkodę, ponownie przeanalizowali swoje możliwości i uznali, że najlepszym obejściem zabezpieczeń będzie włamanie do wnętrza samego systemu ochrony i wykorzystanie go do własnych celów. Następnie skierowali swoje ataki na firmę Bit9 i włamali się do jej systemów. Szybko znaleźli drogę do infrastruktury podpisującej pliki, która stanowi podstawę modelu zabezpieczeń Bit9, po czym wykorzystali ten system do podpisania zaufanym certyfikatem wielu szkodliwych plików. Pliki te zostały następnie użyte do ataków na właściwe cele.