По данным исследования, проведенного «Лабораторией Касперского» совместно с венгерской компанией CrySys Lab, среди жертв кибершпионской программы MiniDuke оказались государственные учреждения Украины, Бельгии, Португалии, Румынии, Чехии и Ирландии. Кроме того, от действий киберпреступников пострадали исследовательский институт, два научно-исследовательскийх центра и медицинское учреждение в США, а также исследовательский фонд в Венгрии.
Для проникновения в системы жертв киберпреступники использовали эффективные приемы социальной инженерии, с помощью которых рассылали вредоносные PDF-документы. Эти документы представляли собой актуальный и хорошо подобранный набор сфабрикованного контента. В частности, они содержали информацию о семинаре по правам человека ASEM, данные о внешней политике Украины, а также планы стран-участниц НАТО. Все эти документы содержали эксплойты, атакующие версии 9, 10 и 11 программы Adobe Reader. Для создания этих эксплойтов был использован тот же инструментарий, что и при недавних атаках, о которых сообщала компания FireEye. Однако в составе MiniDuke эти эксплойты использовались для других целей и содержали собственный вредоносный код.
При заражении системы на диск жертвы попадал небольшой загрузчик, размером всего 20 Кбайт. Он уникален для каждой системы и содержит бэкдор, написанный на Ассемблере. Кроме того, он умеет ускользать от инструментов анализа системы, встроенных в некоторые среды, в частности в VMware. В случае обнаружения одного из них бэкдор приостанавливал свою деятельность с тем, чтобы скрыть свое присутствие в системе.
Если атакуемая система соответствовала заданным требованиям, вредоносная программа начинала втайне от пользователя использовать Twitter для поиска специальных твитов от заранее созданных аккаунтов. Эти аккаунты были созданы операторами бэкдора MiniDuke, а твиты от них поддерживают специфические тэги, маркирующие зашифрованные URL-адреса для бэкдора. Эти URL-адреса предоставляют доступ к серверам управления, которые, в свою очередь, обеспечивают выполнение команд и установку бэкдоров на зараженную систему через GIF-файлы. Если же Twitter не работает или аккаунты неактивны, вредоносная программа может использовать Google Search для того чтобы найти зашифрованные ссылки к новым серверам управления.