A vírusellenes termékeiről ismert ESET szakemberei a Computer Chaos Club konferencián részleteket árultak el a Unified Extensible Firmware Interface (UEFI) rootkit működéséről, amit az orosz kormányhoz közel álló Fancy Bear hekkercsapat használ.
A Lojax néven is ismert szoftver a Windows PC-ken beágyazódik az alaplap firmware-ébe, és a PC bekapcsolása vagy újraindítása után azonnal elindul. Így hatékonyan kijátssza a vírusirtók és az operációs rendszer éberségét, mivel a firmware ezeknél alacsonyabb szinten hajtódik végre.
A Lojax - amely a legális Lojack lopásellenes szoftver módosított változata - egy fertőzött alkalmazással érkezik a rendszerre, amit egy rosszindulatú email kézbesít, és megnyitás után olyan kódokat futtat, amelyek hatalmukba kerítenek egy sebezhető vezérlőt. Ezt aztán az UEFI firmware indításkor betölti, és a rootkit feltelepül a flash memóriába.
A szoftver képes kikapcsolni az eredeti firmware írásvédelmét, és a hatása gyilkos: a beágyazódott rootkit a kártya SPI memóriájának teljes reflashelésén kívül minden más módszerrel eltávolíthatatlan.
