Der Schädling verbreitet sich über eine Seite, die in Syrien gehostet wird. Die mutmaßlichen Hintermänner bezeichnen sich als "SyRiAnHaCkErS". Schon seit Monaten wird der Syrienkonflikt auch im Internet mit Mitteln des cyberkriminellen Untergrunds geführt. Wie bei Angriffen gegen syrische Oppositionelle im Februar dieses Jahres, steckt hinter der vermeintlichen Verschlüsselungssoftware der Schädling "DarkComet". Ob es sich hierbei um eine Gegenattacke handelt und der kriminelle Programmierer seine Ankündigung vom Februar wahr gemacht hat, den syrischen Oppositionellen zu helfen, oder ob vielmehr die Anhänger des syrischen Regimes dahinter stecken, konnte Trend Micro noch nicht abschließend klären.
Ob Syrien oder Tibet - seit Monaten lässt sich beobachten, dass politische Auseinandersetzungen mittlerweile im großen Stil mit den Mitteln des kriminellen Untergrunds geführt werden. Umso hinterhältiger ist deshalb auch der aktuelle Angriff: Denn Verschlüsselung ist in der Tat eines der geeigneten Mittel, mit denen die potenziellen Opfer sich effektiv schützen können.