Une ambassade non nommément citée en Asie centrale aurait été l'une des premières victimes connues de Taj Mahal, qui aurait lancé contre elle une opération complexe recourant à deux maliciels différents. L'un d'entre eux a été découvert fin de l'année dernière et est aujourd'hui abordé par l'entreprise de sécurité Kaspersky Lab. Cette dernière signale qu'elle n'a pas trouvé de lien avec d'autres groupes d'espions ou de cybercriminels connus, mais que le malware a été particulièrement bien conçu et qu'il tournait en catimini en arrière-plan, sans que personne ne le remarque. Kaspersky estime qu'il était en place depuis 2013 ou 2014. Or la cyber-attaque la plus récente lancée par la plate-forme date d'août 2018.

Taj Mahal se compose de deux parties. La première est un virus appelé Tokyo, qui ouvre une porte dérobée via Powershell, avant d'invoquer le serveur de commande et de contrôle. La seconde, que Kaspersky Lab a baptisée Yokohama, est lancée au cours de la phase suivante. Yokohama contient un système de fichiers virtuel (Virtual File System, VFS) avec tous les plug-ins, bibliothèques open source, banques de données de tiers et fichiers de configuration. C'est cette partie qui est capable de lancer toute une série de modules d'attaque. Elle pourrait notamment dérober les données des files d'attente aux imprimantes, créer des captures d'écran, collecter des mouchards pour navigateurs, voire s'emparer de clés cryptographiques. A noter également la possibilité de voler des fichiers déjà regardés de clés USB, lorsque celles-ci sont rebranchées sur un ordinateur.

Selon Kaspersky Lab, il est tout à fait possible que Taj Mahal tourne dans d'autres organisations encore, vu la complexité du logiciel. "L'ingéniosité technique poussée et la fonctionnalité réellement incroyable de cette plate-forme de cyber-espionnage TajMahal sont totalement inédites", écrit Jornt van der Wiel, expert en cyber-sécurité chez Kaspersky Lab, dans un communiqué de presse. "Il nous paraît par conséquent très invraisemblable que l'énorme investissement qui va de pair, n'ait été consenti que pour une seule victime."