Una nuova versione del trojan di accesso remoto (RAT), chiamato COMpfun, è stata scoperta e utilizza codici di stato HTTP per controllare i sistemi compromessi. Sono stati presi di mira entità diplomatiche in Europa in una recente campagna. Il malware di cyber spionaggio, riconducibile a APT Turla con “livello medio-basso”, si è diffuso attraverso un vettore, mascherato come una domanda di visto e scoperto nei laboratori di Research and Analysis di Kaspersky.
L’APT Turla, un gruppo di hacker con base in Russia, ha una lunga storia di attacchi di spionaggio in vari settori, tra cui governi, ambasciate, militari, istruzione, ricerca e società farmaceutiche.

I codici di stato HTTP sono risposte standardizzate emesse da un server in risposta alla richiesta di un client. Emettendo comandi remoti sotto forma di codici di stato, l’idea è stata quella di offuscare qualsiasi rilevamento di attività dannose durante la scansione del traffico Internet.

Per esfiltrare i dati del target su C2 usando HTTP/HTTPS, restituendo al client il codice HTTP status 200, il malware utilizza la crittografia RSA. Per nascondere i dati localmente, il Trojan implementa la compressione LZNT1 e la crittografia XOR one-byte.