Un grupo dedicado al ciberespionaje fue descubierto usando una nueva herramienta de administración remota RAT denominada Trochilus, cuyo grado de detección fue muy bajo entre las soluciones antivirus.

El malware fue descubierto por colaboradores de Arbor Networks, mientras investigaban los ataques en Myanmar que fueron ejecutados desde sitios web del gobierno comprometidos. 

Los investigadores relacionaron los incidentes con un grupo sofisticado de atacantes denominados Group 27, quienes son conocidos por usar diferentes programas maliciosos en sus operaciones, algunos con capacidades que se superponen.

Hasta ahora, Arbor Networks ha descubierto 7 programas maliciosos usados por el grupo, incluyendo 3 RAT: PlugX, 9002 y el reciente Trochilus.

"Estas 7 piezas de malware empaquetados ofrecen a los atacantes una variedad de capacidades, incluyendo medios para involucrarse en espionaje y la habilidad de avanzar lateralmente dentro de las redes destino para ganar un acceso más estratégico", los investigadores de Arbor mencionaron en una entrada de blog.

Mientras los ataques de Myanmar proporcionan indicios acerca de las operaciones del grupo, una investigación adicional reveló que las actividades de los atacantes se extienden fuera de ese país.

Inicialmente cuando Trochilus fue encontrado tenía "muy poca o nula detección por parte del software antimalware", comentaron los investigadores.

Aunque la amenaza aún no está ampliamente difundida, Arbor publicó detalles de la muestra y otros indicadores de infección de manera que las organizaciones puedan analizar sus redes y sistemas; y protegerse a sí mismas en el futuro.