Endeckt wurde die ungewöhnliche Verschlüsselungsmethode vom Software-Unternehmen ESET. Die Kommandos seien extrem gut getarnt gewesen, schreibt das Unternehmen: Unter einem Instagram-Foto der Sängerin befand sich unter knapp 7000 Kommentaren von Britney-Fans auch ein Post des Nutzers „asmith2155“. Er lautete „#2hot make loved to her, uupps #Hot #X“. Auf den ersten Blick handelt es sich um einen schrägen, für Instagram aber nicht ungewöhnlichen Beitrag. Hinter der Zeichenfolge versteckt sich aber ein Link-Teil des Kurz-URL-Dienstes Bit.ly.
Über diese Adresse können die Hacker laut ESET Kontrollserver abrufen und auf infizierten Rechnern auf Datenverzeichnisse zugreifen oder etwaige Dateien hoch- beziehungsweise herunterladen. Die Hacker nutzten für ihre Trojaner-Angriffe gehackte Server von verschiedenen Botschaften in den USA und der österreichischen Stadt Mischendorf.
Über die Identität der Turla-Mitglieder gibt es keine konkreten Angaben, jedoch vermuten die Sicherheitsforscher ihren Ursprung in Russland. Die Gruppe ist seit mehreren Jahren dafür bekannt, sogenannte Watering-Hole-Angriffe durchzuführen und Rechner so mit bösartigen Firefox-Erweiterungen zu infizieren. Ihr Trojaner-Zugriff über Social-Media-Profile im Browser könnte allerdings schon bald der Vergangenheit angehören: Firefox hat bereits angekündigt, bis zum Jahresende auf eine neue Variante von Web-Extensions wechseln zu wollen.
