Впервые активность группы Calypso была выявлена специалистами PT Expert Security Center в марте 2019 года, в ходе работ по обнаружению киберугроз. Группа активна как минимум с сентября 2016 года. Основной целью группы является кража конфиденциальных данных, основные жертвы — государственные учреждения Бразилии, Индии, Казахстана, России, Таиланда, Турции.
Выявленная APT-группировка предположительно имеет азиатские корни и относится к числу китайскоговорящих. В одной из атак группировка использовала вредоносную программу PlugX, которую традиционно используют многие APT-группы китайского происхождения, а также троян Byeby, который применялся во вредоносной кампании SongXY в 2017 году. Кроме того, во время отдельных атак злоумышленники по ошибке раскрывали свои реальные IP-адреса, принадлежащие китайским провайдерам.
Хакеры взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций. Как показало расследование, злоумышленники продвигаются внутри сети либо с помощью эксплуатации уязвимости удаленного исполнения кода MS17-010 (известный эксплоит EternalBlue предназначен именно для этого бага, который также имеет идентификатор CVE-2017-0144), либо с помощью украденных учетных данных.