Tým GReAT (Global Research and Analysis Team) společnosti Kaspersky Lab objevil skupinu s názvem Poseidon, která je aktivní přinejmenším od roku 2005. Jde o vůbec první známou brazilskou portugalsky mluvící skupinu cílící na vládní a finanční instituce, telekomunikační, výrobní, energetické, mediální a PR společnosti.
Skupina Poseidon je specifická tím, že je komerčním subjektem. Její útoky zahrnují na míru vytvořený malware, který je digitálně podepsaný falešným certifikátem určeným ke krádežím citlivých dat obětí. Program je navržený především pro anglická a brazilská zařízení se systémem Windows. Jednou z charakteristik skupiny je, že prozkoumává doménové podnikové sítě. Podle analýzy Kaspersky Lab používá Poseidon cílené phishingové e-maily s RTF nebo DOC přílohami. Po jejich otevření pronikne do cílového systému škodlivý binární kód. Dalším znakem skupiny je její jazyk - brazilská portugalština. Preferování portugalských systémů je přitom praxí, kterou bezpečnostní komunita doposud nezaznamenala.
Po nakažení malware zkontaktuje C&C servery. Při pohybu po síti pak využívá specializovaný nástroj, který automaticky sbírá širokou škálu dat včetně přihlašovacích údajů, firemních strategií pro správu skupin a systémových logů. Díky nim útočníci přesně zjistí, jaké aplikace a příkazy mohou použít, aniž vzbudí pozornost administrátora sítě. Informace jsou následně využity ke zmanipulování oběti. Skupina Poseidon vystupuje jako konzultant bezpečnosti a vyžaduje uzavření kontraktu pod hrozbou zneužití zcizených dat. Analytici Kaspersky Lab identifikovali 35 společností z různých oborů, které byly primárními cíli útoků. Oběti napadení pocházely z následujících zemí: USA, Francie, Kazachstán, SAE, Indie a Rusko. Hlavním místem šíření však je Brazílie, kde má mnoho napadených společné podniky, nebo jsou partnerskými společnostmi.
„Skupina Poseidon operuje už řadu let nejen na zemi, ale i ve vzduchu nebo na moři. Některé z jejich C&C serverů byly nalezeny u poskytovatelů internetového připojení, kteří zajišťovali služby pro běžnou, ale i lodní přepravu a také poskytovali bezdrátové připojení," řekl Dmitrij Bestužev, analytik týmu GReAT Kaspersky Lab. „Kromě toho jsme zjistili, že několik částí této strategie má jen krátkou životnost. To přispělo k tomu, že skupina mohla fungovat tak dlouho bez povšimnutí," dodal.
Vzhledem k tomu, že Poseidon je aktivní nejméně deset let, jeho techniky prošly značným vývojem. To analytikům ztížilo práci. Nicméně díky shromážděným důkazům, rukopisu aktérů a rekonstrukci časových os potvrdili analytici Kaspersky Lab v polovině roku 2015, že předtím detekované, ale neidentifikované stopy ve skutečnosti patřily jednomu a tomu samému aktérovi - skupině Poseidon. Produkty Kaspersky Lab detekují a odstraňují veškeré známé verze komponent tohoto malwaru.