В ходе целевой кампании, которая действует с мая 2019 года и направлена на пользователей в Азии, было заражено более десяти часто посещаемых потенциальными жертвами сайтов, связанных с религией, волонтёрскими и благотворительными программами. Такой тип атаки, позволяющий зловреду проникнуть на устройство сразу после посещения пользователем скомпрометированного ресурса, называется watering hole («атака на водопое»).
Обнаруженная «Лабораторией Касперского» кампания получила название Holy Water, в рамках которой злоумышленники используют нестандартные подходы. Главные особенности — быстрое эволюционирование и применение широкого набора инструментов, в частности, атакующие использовали хранилище GitHub и ПО с открытым исходным кодом.
В ходе кампании на интернет-страницы внедрялся загрузчик, который позволял установить на устройства жертв бэкдор сразу после посещения ими скомпрометированного ресурса. Такое ПО открывает полный доступ к заражённому устройству: позволяет вносить изменения в файлы, собирать конфиденциальную информацию с устройства и данные о проводимых на нём действиях. Еще один бэкдор позволял обмениваться зашифрованными данными с удалённым сервером. Его задача — собрать информацию о посетителе и проверить, является ли он целью. Если да, то на его устройство загружается плагин, который провоцирует загрузку, показывая фейковое обновление Adobe Flash. Файл, который позволял исполнять фейковое всплывающее уведомление от Adobe Flash, хранился на GitHub.
