卡巴斯基實驗室發現“黑暗酒店”網絡間諜組織從七月初開始，也就是HackingTeam文件在7月5日泄露后不久，就使用HackingTeam泄露的零日漏洞進行攻擊。盡管從去年開始，這一攻擊組織就想盡辦法增強其防御措施。例如，擴展其反檢測技術列表。2015年版本的“黑暗酒店”下載器能夠識別來自27家安全廠商的反病毒技術，并試圖繞過這些安全產品的檢測。卡巴斯基實驗室針對個人與企業用戶的產品能夠成功檢測和攔截“黑暗酒店”惡意組件，并已將其檢測為Trojan.Win32.Darkhoteland Trojan-Dropper.Win32.Dapato。

據了解，HackingTeam是一家向某些政府和執法機關銷售“合法間諜軟件”的企業。HackingTeam公司的文件發生泄露后，一些網絡間諜組織已經開始使用這些泄露的文件實施惡意攻擊，而這些文件原本就是HackingTeam提供給客戶用以發動攻擊使用的。泄露的文件中包括多個針對Adobe Flash Player和Windows操作系統的漏洞利用程序。其中至少有一個漏洞利用程序已經被強大的網絡攻擊組織“黑暗酒店”用以執行其它目的。

卡巴斯基實驗室安全專家于2014年便發現了一個名為“黑暗酒店”的精英間諜攻擊組織，該組織會通過入侵豪華酒店的Wi-Fi網絡，攻擊企業高管，竊取資料。而且Darkhotel并不是HackingTeam公司的客戶，所以“黑暗酒店”應該是在這些文件被公開之后獲取到的。

此外，這并不是該攻擊組織所使用的唯一的零日漏洞。卡巴斯基實驗室估計在過去幾年中，該攻擊組織使用的針對AdobeFlashPlayer的零日漏洞至少有六個之多。顯而易見，“黑暗酒店”在壯大其攻擊能力方面投入巨大。2015年，“黑暗酒店”繼續在全球范圍內擴展其影響，并且還在朝鮮、韓國、俄羅斯、日本、孟加拉、泰國、印度、莫桑比克和德國對目標繼續進行魚叉式釣魚攻擊。

作為一個活躍了近八年時間的知名的APT（高級可持續性威脅）攻擊組織，“黑暗酒店”在近期采用了新的攻擊手段，并且有新的動向。卡巴斯基實驗室的調查發現，在2014年以及更早的攻擊中，“黑暗酒店”攻擊組織使用竊取到的證書以及不尋常的攻擊手段（例如入侵酒店的Wi-Fi網絡）在受攻擊者的系統上植入間諜工具。2015年，該攻擊組織仍然在使用這些攻擊技巧和行動。但是，卡巴斯基實驗室還發現了一種新的惡意可執行文件變種、更多的被盜數字證書以及社交工程技巧，同時該組織還部署了來自HackingTeam的零日漏洞：

· 繼續使用被盜數字證書：“黑暗酒店”攻擊組織似乎儲備有大量被盜證書，并使用這些證書對其下載器和后門程序進行數字簽名，欺騙被攻擊系統。其中包括一些最近被廢除的證書，例如Xuchang Hongguang Technology Co. Ltd公司的數字證書。而早在之前的攻擊中，“黑暗酒店”就使用過這家公司的數字證書。

· 不懈的魚叉式釣魚攻擊：“黑暗酒店”攻擊非常執著和持久。攻擊者會試圖利用魚叉式釣魚攻擊感染目標。如果當時不成功，攻擊者會過幾個月后再次嘗試，并且使用幾乎一樣的社交工程技巧進行攻擊。

· 部署Hacking Team的零日漏洞利用程序：受感染網站tisone360.com包含一系列后門程序和漏洞利用程序。而這些漏洞利用程序來自Hacking Team的Flash零日漏洞。

對于此次重大發現，卡巴斯基實驗室首席安全研究員KurtBaumgartner表示：“‘黑暗酒店’再度來襲，并且又使用了一種新的AdobeFlashPlayer漏洞利用程序，將其置于一個被感染的網站上。不僅如此，這次他們所使用的漏洞利用程序似乎來自Hacking Team所泄露的零日漏洞。該攻擊組織曾經在同樣的網站上，使用過另一種不同的Flash漏洞利用程序，我們在2014年1月將其上報為一種Adobe零日漏洞。‘黑暗酒店’在過去幾年中，使用了多種Flash零日漏洞和半日漏洞。所以，該攻擊組織可能儲備了很多漏洞，用于針對高級別的目標進行全球范圍內的精準攻擊。根據以往的攻擊，我們知道‘黑暗酒店’主要攻擊企業CEO、高級副總裁、銷售和市場總監以及高級研發人員。”