Tras encontrar recientemente una muestra de malware italiana, investigadores de seguridad creen que puede ser de Hacking Team, proveedor de software malicioso para servicios policiales y regímenes represivos.

En una entrada de blog Pedro Vilaça analizó una muestra proporcionada por Palo Alto Networks de lo que parece ser una variante del Sistema de Control Remoto (Remote Control System, RCS) de Hacking Team.

Hacking Team estaba comprometido en julio del año pasado, con cerca de 400 gigabytes de documentos de compañías, código fuente y otros archivos publicados en Internet.

La fuga de información también contenía listas de clientes existentes y potenciales, con las agencias australianas como las principales interesadas en las herramientas de las compañías.

Aunque Hacking Team prometió regresar en septiembre de 2015, poco se ha sabido de la empresa desde entonces. Sin embargo, la fecha del RCS que analizó Vilaça es de mediados de octubre del año pasado.

“Nunca antes [hemos] tuvimos una muestra tan fresca. Y si esta fecha es realmente cierta, tenemos una muestra post hack, lo que significa Hacking Team sigue vivo después del hack de julio” escribió Vilaça.

El mando y control para el programa RCS estaba corriendo en el proveedor de almacenamiento Linode en Reino Unido, pero Vilaça dijo que el nodo fue dado de baja rápidamente. El desensamblado de la muestra RCS mostró que fue compilado desde el código fuente. Vilaça dijo que no podía ver inicialmente nuevas mejoras. Más tarde dijo que el código fue encontrado en un dropper que deposita el RCS, indicando que, o bien otra persona mantiene la actualización de código fuente, o que el equipo de Hacking Team lo recopiló.

Otro investigador, Patrick Wardle de Objective-See, confirmó que el dropper del RCS contenía nuevas características tales como ofuscación con el esquema de cifrado nativo de OS X Apple.