یک ابزار مدیریت از راه دور (RAT) که جدیداً کشف شده از وبسایت‌های قانونی محبوب برای ارتباطات دستور و کنترلِ (C&C) خود و برای خروج داده‌ها (exfiltration of data) استفاده می‌کند. یکی از محققین به نام  Talos  در این باره می‌گوید:

«این RAT جدید، ملقب به ROKRAT، ابزاری است که از طریق ایمیل و توسط یک HWP توزیع شده است و قربانیان خود را از کره جنوبی انتخاب کرده است. محققان دریافته‌اند که یکی از این ایمیل‌های مخربِ فیشینگ spear ( spear phishing) از سرورِ ایمیلِ Yonsei، دانشگاهی خصوصی در سئول، ارسال شده است. برای مشروعیت‌بخشی به این ایمیل، مهاجمان از ایمیل ارتباطیِ انجمن جهانی کره به عنوان آدرس فرستنده استفاده کرده‌اند.

این سندِ HWP مخرب شامل یک شیء EPS است که هدف آن اکسپولیت کردنِ یک آسیب‌پذیریِ شناخته شده (CVE-2013-0808) برای دانلود یک فایل باینری است که خود را در لباسِ مبدلِ یک فایل .jpg نشان می‌دهد. وقتی که فایل رمزگشایی (decoded) و اجرا شد، بدافزار ROKRAT بر روی دستگاه قربانی نصب می‌شود.».

این RAT با استفاده از وبسایت‌هایی چون Twitter، Yandex و  Mediafireبه عنوان پلتفرم‌های ارتباطات C&C و خروج (exfiltration)، شناسایی خود را دشوار کرده زیرا نه تنها بلاک کردن این وبسایت‌ها از درون سازمان‌ها دشوار است، بلکه این سایت‌ها از اتصال HTTPS استفاده می‌کنند که  شناساییِ الگوهای خاص را نیز دشوار می‌کند.

Talos در جایی نوشته است: « یکی از نمونه‌های آنالیز شده تنها از Twitter برای تعامل با این RAT استفاده می‌کند، در حالی که نمونه‌ی دوم علاوه بر آن از پلتفورم‌های ابری مثل Yandex و Mediafire نیز استفاده می‌کند. [Twitter tokens که ما قادر به استخراج  آن بودیم در هر دوگونه یکسان بود.] تلاش‌های آشکاری برای اضافه کردن امکانات جدیدی به این RAT وجود دارد تا مهاجمان بتوانند سطوح پیچیده‌تری از حمله به دستگاه‌های قربانیان را تجربه کنند.»

با توجه به تحلیل‌ها، محققان امنیتی دریافتند که این RAT روی سیستم‌هایی که از ویندوز XP استفاده می‌کنند کار نمی‌کند، زیرا سیستمِ در معرض خطر را برای دنباله‌ای از ابزارهایی که برای تحلیل بدافزار استفاده می‌شوند یا در درونِ محیط‌های sandbox چک می‌کند.

برای ارتباطات با پلتفرم‌های C&C، بدافزار از ۱۲ hardcoded tokens (۷ API tokens متفاوت Twitter، ۴ Yandex tokens، و یک اکانت Mediafire) استفاده می‌کند. این بدافزار آخرین پیام روی تایم‌لاین توییتر را چک می‌کند و همچنین می‌تواند که خود توییت کند؛ و می‌تواند فایل‌ها را دانلود و اجرا کند یا سندهای دزدیده شده را روی حافظه‌ی ابری Yandex یا Mediafire آپلود کند.

محققان می‌گویند  در یکی از نمونه‌ها مشاهده شده که این بدافزار از سیستم ویروسی شده اسکرین‌شات می‌گیرد.

Talos نوشته است که بازیگر این تهاجم یک فرد با انگیزه است. این RAT خلاقانه است و از کانال‌های ارتباطی جدیدی استفاده می‌کند. علاوه بر آن، این بدافزار شامل یک سری قابلیت‌های عجیب و غریب است، مثلا اگر در sandbox اجرا شود این قابلیت را دارد که به سایت‌های قانونی (مثل Amazon و Hulu) درخواست دهد.

Talos این گونه نتیجه‌گیری می‌کند: «بازیگر این حمله یک آدرس ایمیل قانونی از یک انجمن بزرگ که توسط دانشگاهی در سئول اداره می‌شود، استفاده کرده است تا یک ایمیل spear phishing جعل کند و با این کار شانس موفقیت خود را بالا ببرد. »