マカフィーは、世界14か国、72の組織を狙った標的型攻撃「Operation Shady RAT」の解析結果を自社ブログで報告している。

 「Operation Shady RAT」は、一連の攻撃でリモートアクセスツール(RAT)が、疑わしい(shady)方法で悪用されていることから命名されたという。マカフィーは、侵入者が使用している1台のC&Cサーバにアクセスし、ログの収集を行った。

 ログによれば、「Operation Shady RAT」による最も古い攻撃は2006年中頃だった。侵入の手法は、エクスプロイトを含むスピアフィッシングメールを、企業内の適切なレベルのアクセス権を持つ人物に送信。修正プログラムが適用されていないPCでエクスプロイトを開くと、埋め込みマルウェアのダウンロードを開始する。

 このマルウェアを実行すると、C&Cサーバへのバックドア通信チャンネルを開始し、ウェブページのコードに埋め込まれた非表示コメントによってコード化された命令が解釈される。攻撃の実行者は、その直後に感染したマシンにアクセスして権限をエスカレートさせ、埋め込みマルウェアを実行して感染マシンを増やすことによって新しい拠点を確立するとともに、狙っていたデータを盗み出す、という手法を用いる。

 マカフィーの調査では、Operation Shady RATの攻撃によって、国連やフォーチュン100の多国籍企業、オリンピックのナショナルチームなど、72の組織が被害にあっていた。国別に見ると、被害は14の国や地域に及んでいる。