Először 2013-ban észlelték, mikortól a csomagot bérbe is lehetett venni. Több kiberbűnöző csoport használta különböző fajta vírusok terjesztésére a reklámvírusoktól a bank- és zsarolóvírusokig. Ezt az exploit-csomagot használta az egyik legaktívabb és legveszélyesebb zsarolóvírus, a CryptXXX mögött álló csoport. Az Anglert használták a Neverquest trójai bankvírus terjesztésére is, amely majdnem 100 különböző bankot támadott meg. Az Angler aktivitás éppen a Lurk csoport letartóztatása után szakadt meg.
A Kaspersky Lab biztonsági szakértőinek kutatása azt mutatja, hogy az Angler exploit-csomagot eredetileg azért készítették, hogy megbízható és hatékony csatornaként juttassa el bankvírusaikat a célpontok számítógépeire. Mivel nagyon zárt csoportról van szó, a Lurk egyedül irányította teljes infrastruktúráját bármilyen külső segítség nélkül, de 2013-ban megváltozott a helyzet és hozzáférést biztosítottak bárkinek, aki fizetett érte.
“Feltételezzük, hogy az Angler megnyitása részben az üzemeltetési költségek kifizetésének szükségességéből adódott. Mire megkezdték bérbe adni az Anglert, fő tevékenységük, a kiberrablás jövedelmezősége csökkent, mert bankszoftver fejlesztők új biztonsági lépéseket vezettek be és ez sokkal nehezebbé tette a lopást a hackerek számára. De addigra a Lurk csoportnak óriási hálózati infrastruktúrája volt és ennek üzemeltetése pénzbe került. Ezért úgy döntöttek, hogy kiterjesztik tevékenységi körüket, és bizonyos mértékben ez sikerült is nekik. Míg a Lurk trójai bankvírusa csak orosz szervezeteket veszélyeztetett, az Anglert világszerte használták kibertámadásokban” – magyarázta Ruslan Stoyanov, a számítógépes nyomozási osztály vezetője.
Az Angler exploit-csomag kifejlesztésén kívül más mellékprojektjei is voltak a Lurk csoportnak. Több, mint öt év alatt, a csoport az automatizált pénzlopástól tovább fejlődött szofisztikáltabb tevékenységek irányában, mint a SIM-kártyás csalások vagy az olyan szakértők meghackelése, akik járatosak a bankok belső infrastrukturájában.
