Bruxelles – Il gruppo hacker TeleBots sarebbe l’autore della nuova backdoor Exaramel, utilizzata proprio dallo stesso gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya. Exaramel, individuato dai ricercatori della Eset, agirebbe installando il codice binario della backdoor nella directory di sistema di Windows, creando e avviando un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper. Per altro la backdoor utilizza server C&C con nomi di dominio che imitano quelli appartenenti a Eset, come esetsmart [.] org e um10eset [.] net ed una volta che la backdoor è in esecuzione, si connette a un server C&C, ricevendo comandi da eseguire. Il gruppo, oltre alla backdoor Exaramel utilizzerebbe alcuni dei suoi vecchi strumenti, tra cui un password-stealer internamente chiamato CredRaptor o PAI e un Mimikatz leggermente modificato allo scopo.