پویش سایبری جدیدی منتسب به گروه نفوذ DarkHydrus شناسایی شده که در حال توزیع تروجان RogueRobin هستند. نکتهی جالبی که وجود دارد این است که این نفوذگران از سرویس گوگلدرایو بهعنوان کارگزار دستور و کنترل استفاده میکنند. آخرین فعالیت مربوط به این گروه نفوذ در حملهی آنها به خاورمیانه مشاهده شده بود که کاربران را با فایلهای اکسل همراه با ماکروهای مخرب VBA فریب میدادند. محققان اعلام کردند این ماکروی مخرب در ادامه یک فایل .TXT را دانلود کرده و با استفاده از سرویس قانونی regsvr۳۲.exe آن را اجرا میکند. پس از گذشت چندین مرحله، در نهایت یک درب پشتی که به زبان C# نوشته شده و RogueRobin نام دارد، بر روی سیستم قربانی نصب میشود.
این گروه نفوذ، برای این بدافزار قابلیتهای دیگری را در نظر گرفتهاند که با حالت x_mode فعال میشود. این وضعیت بهطور پیشفرض غیرفعال است ولی مهاجمان با ارسال دستور از سمت کارگزار دستور و کنترل که در گوگل درایو قرار دارد، آن را فعال کنند. ارتباط با کارگزار دستور و کنترل از طریق تونلزنی DNS انجام میشود. محققان اعلام کردهاند این بدافزار پیش از اجرای عملیات، اجرا شدن بر روی یک محیط جعبه شنی را بررسی میکند.