Symantec ha coniato per loro il nome Hidden Lynx, da una stringa individuata nelle comunicazioni server dei comandi e di controllo. Si tratta di un gruppo di hacker particolarmente attivo e all’avanguardia caratterizzato da grande preparazione tecnica e un'ottima organizzazione delle proprie attività
Il gruppo identificato da Symantec ha la capacità di prendere di mira centinaia di aziende diverse in differenti aree geografiche, e questo lascia supporre che operi secondo schemi di ingaggio da parte di terzi, per ottenere qualsiasi tipologia di informazioni a valore su richiesta.
Symantec ritiene che il gruppo possa essere formato da 50-100 persone e preveda almeno due team distinti.
Un primo team che effettua attacchi basati sull'uso di strumenti “usa e getta” insieme a tecniche di base oppure che si dedica alla prima fase di raccolta di informazioni sfruttando in modo massiccio il trojan backdoor Moudoor senza preoccuparsi troppo di essere individuato.
Il secondo team è costituito da personale selezionato e agisce come un'unità speciale operativa che si indirizza verso i bersagli più importanti o difficili da colpire, facendo un uso prevalente del Trojan Naid che, a differenza di Moudoor, viene utilizzato con parsimonia e facendo particolare attenzione a evitare il rilevamento.
Il centro Symantec Response, dal 2011 ha osservato almeno sei campagne significative da parte di questo gruppo, tra cui la più importante è la campagna di attacco VOHO del giugno 2012 indirizzata contro gli appaltatori del Dipartimento della Difesa statunitense i cui sistemi erano protetti tramite il software di protezione di Bit9.
Questa campagna di attacco venne condotta utilizzando la tecnica di watering hole e la compromissione dell’infrastruttura di firma dei file di Bit9.