Verschillende defensiebedrijven zijn sinds begin 2009 het doelwit van een campagne waarbij een Trojaans paard zich als Microsoft Update voordoet. Om bij de organisaties te infiltreren gebruiken de aanvallers PDF-bestanden die op een uitnodiging van een conferentie lijken, zoals hieronder te zien is. De PDF-bestanden misbruiken beveiligingslekken in Adobe Reader om vervolgens Remote Access Tool (RAT) malware op het systeem te installeren.

Het Trojaanse paard heeft als bestandsnaam onder andere "msupdate.exe" en gebruikt voor communicatie met de C&C-server vaak HTTP GET requests die "/microsoftupdate/getupdate/default.aspx" bevatten. De aanvallers zouden door de gelijkenis met Microsoft Windows Update niet op willen vallen. "Vandaar ook de naam", zeggen Seculert en Zscaler Research. De malware wordt de MSUpdater Trojan genoemd.

Onderzoek
Beide beveiligingsbedrijven ontdekten het Trojaanse paard en besloten gezamenlijk hun onderzoek te publiceren. Daarmee willen ze bedrijven voor de malware waarschuwen, aangezien die nog steeds actief is. De eerste "kwaadaardige patronen" van de malware werden begin maart 2010 waargenomen. Door informatie over het Trojaanse paard met domeinnaamregistraties te correleren, werd de malware ook met eerdere aanvallen in verband gebracht.

Eén van de aangevallen bedrijven was een Amerikaans defensiebedrijf, dat een uitnodiging voor ISSNIP ontving. Een internationale conferentie over sensornetwerken en intelligente sensoren. "Het gaat hier duidelijk om een zeer gerichte aanval op een groot defensiebedrijf." Bedrijven die de malware tegenkomen zijn waarschijnlijk al geruime tijd geïnfecteerd en zullen waarschijnlijk in de toekomst weer besmet raken, merken de beveiligingsbedrijven op.