Cybereason 的研究人员Amit Serper发现，在长达数年的攻击中，攻击者正在利用现有的黑客工具从数据库中窃取数据，其中某些工具旨在通过破解和产品密钥生成器来解锁数据库的完整版本，并注入强大的远程访问工具木马。打开工具后，黑客将获得对目标计算机的完全访问权限。攻击者通过在黑客论坛上发布重新包装的工具来“诱骗”其他黑客下载。

但这不只是黑客针对其他黑客的案例。这些经过恶意重新打包的工具不仅为黑客的系统打开了后门，而且还为黑客已经破坏的任何系统打开了后门。Serper表示：“如果黑客将您的企业设为攻击目标，并且使用了这些木马工具，则意味着无论是谁，这些黑客都将有权访问您的资产。”其中包括从事红队交战的进攻性安全研究人员。

Serper发现，这些迄今未知的攻击者正在使用功能强大的特洛伊木马njRat注入并重新包装黑客工具，攻击者可以完全访问目标的桌面，包括文件、密码、甚至可以访问其网络摄像头和麦克风。该木马至少可以追溯到2013年，当时它经常被用于对付中东目标。njRat通常通过网络钓鱼电子邮件和受感染的闪存驱动器传播，但最近，黑客已将恶意软件注入到休眠或不安全的网站中，以逃避检测。2017年，黑客使用相同策略在网站上为所谓的伊斯兰国宣传单位托管恶意软件。

在查看一些检测数据时，Serper偶然发现了一种在正在监视的环境中对njRat进行的新检测。njRat在中东很受欢迎，它的操作员可以劫持受害者的机器进行键盘记录、截屏、文件操作和渗透、网络摄像头和麦克风录音。尽管njRat是相当普遍的威胁和流行的RAT，但这种特殊感染引起了研究人员的注意。

如前所述，所有观察到的样本（包括正在监视的环境中进行的检测）都具有合法的Windows进程的名称，例如svchost.exe或explorer.exe，但所有这些都是从%AppData%内的子目录执行的。显然，这是在作恶，但是执行这些操作的根本原因是未知的，因为在部署产品之前，文件已被丢弃到环境中。

在检查了环境之后，很明显，在目标计算机上的各种路径中部署了许多黑客和渗透工具。通过检查网络上的哈希，可以看到所有黑客工具在它们旁边都部署了各种裂缝。工具和裂缝都感染了该njRat活动。通过使用VTGraph将标识的服务器与VT上找到的哈希相关联，可以看到有很多与此活动相关的样本：

Cybereason找到了MediaFire来源，其中包含许多破解版本的工具。研究人员从那里发现了一个“ sharetools99”博客站点，该站点提供了许多破解的木马工具，并链接到MediaFire文件共享。Serper 表示，“到目前为止，我们已经找到了伪装成各种黑客工具或伪装成Chrome Internet浏览器安装程序的示例。capeturk .com子域大约有700个示例，并且每天有更多样本添加到各种威胁情报资源中。”

活动的范围，木马工具的数量以及创建新版本的njRAT的速度很快，Serper暗示攻击者已创建了恶意软件工厂。Serper表示：“看来，这一活动背后的威胁行动者每天都在构建其黑客工具的新版本。” 文件编译可能已经自动化。如果是这样的话，这可能表明我们可以在将来看到更多的东西，因为犯罪分子越来越多地使用与合法企业用来改善自己的服务相同的技术（在本例中为自动化）。