Az IT-biztonsági cég kutatói által Shrouded Crossbow néven emlegetett csoport elsősorban a privatizált állami cégeket, a kormányzatok beszállítóit, valamint szórakoztatóelektronikai, informatikai vállalatokat, egészségügyi és pénzügyi szervezeteket vesz célba 2010 óta, és a támadásokhoz a 2004-ben felfedezett, hátsókaput nyitó Bifrose trójai program átdolgozott változatait használja.
Bizonyítja a csoport tevékenysége, hogy a sikeres kiberkémkedésnek nem elengedhetetlen előfeltétele a nagy költségvetés, a nulladik napi sérülékenységek raktárkészlete vagy a még soha nem látott szofisztikáltságú, rosszindulatú szoftverkód. A régi kiberfegyverek is megteszik, csak kicsit le kell porolni és feljavítani őket a hatékony támadáshoz.
A Shrouded Crossbow eszközkészletében olyan hátsókapukkal találkozunk, mint a Kivar és az Xbow, amelyek a feketepiacon annak idején mindössze 10 ezer dollárért beszerezhető Bifrose trójaira épülnek.
Véleményünk szerint a csoport megvásárolta a Bifrose forráskódját, majd miután tökéletesítette képességeit, új telepítőt és szoftverkiadást fejlesztettek, hogy egyedi loader-backdoor párokat hozzanak létre, fejtették ki a Trend Micro kutatói blogposztjukban. A Shrouded Crossbow így hatékony támadásokat indíthat, annak ellenére, hogy a Bifrose trójait nagyon jól ismeri a szakma, azt a biztonsági szoftverek könnyen felismerik.
További érdekesség a csoporttal kapcsolatban, hogy azt legalább kettő, de valószínűleg három vagy több csapat alkotja a Trend Micro szerint. Az egyik a legalább tízfős fejlesztőcsapat, amely a trójai új kiadásait fejleszti. A létszámra a kutatók a verziószálakban fellelhető, egyedi fejlesztői azonosítók alapján következtettek.
A második csoport a célpontot választja ki, és a trójait felparaméterezi, az adott áldozatra szabja, valamint elkészíti a rosszindulatú kódot hordozó, adathalász leveleket is, amelyeket általában hírügynökségi jelentésnek, szakmai önéletrajznak, kormányzati adatközlésnek vagy találkozóra szóló meghívónak álcáz.
Végül a harmadik csapat a Shrouded Crossbow kiterjedt irányító és ellenőrző infrastruktúráját tartja karban, például több mint száz szerver IP címét és tartománynevét frissíti folyamatosan, szervezett módon.
