Een Trojaans paard dat eerder bij aanvallen tegen Tibetaanse organisaties werd ingezet, wordt nu gebruikt om defensiebedrijven te infiltreren. Het gaat om de MSUpdater Trojan, die al in januari werd ontdekt. Toen verspreidde de malware zich via beveiligingslekken in Adobe Reader. De nieuwste versie gebruikt een onlangs gepatchte kwetsbaarheid in Microsoft Office (MS12-027) om toegang tot het bedrijfsnetwerk te krijgen. Naast defensiebedrijven zouden ook bedrijven in de luchtvaartindustrie het doelwit zijn, aldus beveiligingsbedrijf AlienVault Labs.

De malware krijgt zijn naam niet vanwege het gebruikte beveiligingslek, maar vanwege de gebruikte bestandsnaam "msupdate.exe" en communicatie met de C&C-server. Die bestaat vaak uit HTTP GET requests die "/microsoftupdate/getupdate/default.aspx" bevatten. De aanvallers zouden door de gelijkenis met Microsoft Windows Update niet op willen vallen.

E-mail
Voor het uitvoeren van de aanvallen gebruiken de aanvallers e-mails met als onderwerp de 'Space and Missile Defense Conference'. Zodra het doelwit het bestand SMD_Conference_2012.doc op een ongepatchte computer opent, wordt de malware geïnstalleerd en een onschuldig document geladen.

De malware maakt verbinding met de Command & Control-servers van de aanvallers en stuurt vervolgens het type besturingssysteem, serienummer van de machine en computernaam door. Het kwaadaardige Word-document wordt door 5 van de 41 virusscanners op VirusTotal herkend.