Die Malware-Autoren scheinen Spanisch als Muttersprache zu sprechen – was bei APT-Attacken recht ungewöhnlich ist.
Die Kampagne war seit mindestens fünf Jahren bis zum Januar 2014 aktiv. Erste Careto-Samples tauchten 2007 auf. Während der Kaspersky-Untersuchungen wurden die Command-and-Control (C&C)-Server abgeschaltet.
Kaspersky Lab hat 380 Opfer identifiziert. Infektionen gab es neben Deutschland und der Schweiz auch in Algerien, Argentinien, Ägypten, Belgien, Bolivien, Brasilien, China, Costa Rica, Frankreich, Gibraltar, Großbritannien, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Mexiko, Marokko, Norwegen, Pakistan, Polen, Spanien, Südafrika, Tunesien, Türkei, USA und Venezuela.
Die Komplexität und die Universalität der genutzten Werkzeuge macht diese Cyberspionage-Operation sehr speziell – dazu zählen der wirksame Einsatz von High-end-Exploits, äußerst hochentwickelte Malware mit Rootkit, Bootkit, Versionen für Mac OS X und Linux sowie mögliche Varianten für Android und iOS (iPhone/iPad). „The Mask“ hat zudem eine auf Kaspersky-Unternehmenslösungen angepasste Attacke durchgeführt.
Als Angriffsvektoren dienten mindestens ein Exploit für Adobe Flash Player (CVE-2012-0773). Dabei handelte es sich um Flash-Player-Versionen, die älter als Version 10.3 und 11.2 waren. Das Exploit wurde erstmals von der Firma VUPEN entdeckt und im Jahr 2012 für einen Wettbewerb namens „CanSecWest Pwn2Own“ zum Durchbrechen der Google-Chrome-Sandbox verwendet.