Het nieuwste zero-day beveiligingslek in Internet Explorer wordt inmiddels door meer malware misbruikt, maar mogelijk is dit het werk van dezelfde bende. In eerste instantie ging het nog om gerichte aanvallen waarbij e-mails zich als hotelreservering voordeden. Slachtoffers die op de aanwezige link klikten, werden vervolgens naar een kwaadaardige pagina doorgestuurd. Afhankelijk van de gebruikte IE-versie werd dan de Pirpi backdoor geïnstalleerd.

Onderzoekers van het FireEye Malware Intelligence Lab hebben nu een andere backdoor ontdekt genaamd Hupigon. Dit is een backdoor die twee a drie jaar oud is. Het lijkt er echter op dat dezelfde bende achter de verspreiding van de nieuwe malware zit. Zo gebruiken beide backdoors het .gif formaat om de aanvullende malware te verbergen. Daarnaast gaat het in beide gevallen om backdoors die volledige toegang tot het systeem geven.

Exploit
Volgens Atif Mushtaq van FireEye hebben op dit moment de meeste cybercriminelen nog geen toegang tot de exploit, maar dat is waarschijnlijk slechts een kwestie van tijd. De exploit zou dan mogelijk ook betrouwbaarder kunnen worden, want in de meeste gevallen laat die Internet Explorer nu gewoon crashen. "Dat is goed nieuws en mogelijk een reden waarom dit zero-day lek niet succesvoller is geweest."