آی‌تی‌من- به گزارش وب‌سایت ZDNet، این بدافزار که HiddenWasp نام دارد، ترکیبی از یک روت‌کیت کاربردی، یک تروجان و یک اسکریپت اجرای عملیات اولیه است. بدافزار دارای ساختار مشابه بدافزار لینوکسی Winnti است که اخیرا شناسایی شده است.

پژوهشگران در بدافزار HiddenWasp مشابهت‌های زیادی را با سایر بدافزارها شناسایی کرده‌اند. به عنوان مثال برخی از متغیرهای محیطی مشاهده شده در HiddenWasp، در یک روت‌کیت منبع باز با نام Azazel نیز استفاده شده‌اند. علاوه بر این، رشته‌های زیادی در این بدافزار وجود دارند که با بدافزار Elknot یکسان هستند. همچنین، ارتباطاتی بین HiddenWasp و روت‌کیت منبع‌باز لینوکس Adore-ng و همینطور بدافزار اینترنت اشیا Mirai نیز مشاهده شده است.
تمامی این موارد نشان می‌دهند که توسعه‌دهندگان بدافزار HiddenWasp، از کدهای سایر پروژه‌ها استفاده کرده‌اند. با این حال، این بدافزار اولین نرم‌افزار مخربی نیست که از کدمنبع سایر بدافزارها استفاده می‌کند.

پژوهشگران اعلام کرده‌اند که بردار اولیه حمله جهت انتشار این بدافزار هنوز مشخص نیست. در واقع HiddenWasp به عنوان payload مرحله دوم منتقل شده است و به منظور کنترل از راه دور سیستم‌های آلوده مورد استفاده قرار می‌گیرد. از قابلیت‌های این بدافزار می‌توان به موارد تعامل با فایل‌های سیستم محلی؛ بارگذاری، بارگیری و اجرای فایل‌ها؛ اجرای دستور در ترمینال و غیره اشاره کرد.

نشانه‌های آلودگی (IoC):
IPها:
•    ۱۰۳,۲۰۶.۱۲۳[.]۱۳
•    ۱۰۳,۲۰۶.۱۲۲[.]۲۴۵
•    http://۱۰۳,۲۰۶.۱۲۳[.]۱۳:۸۰۸۰/system.tar.gz
•    http://۱۰۳,۲۰۶.۱۲۳[.]۱۳:۸۰۸۰/configUpdate.tar.gz
•    http://۱۰۳,۲۰۶.۱۲۳[.]۱۳:۸۰۸۰/configUpdate-۳۲.tar.gz

هش‌ها:

ITMen