Linux-skadevaren er en variant av NerbianRAT, som først ble omtalt i 2022, skriver Ars Technica.

Nylig kunne Checkpoint reserach dokumentere at skadevaren hadde gått i hele to år uten å bli oppdaget, og at den har benyttet seg av såkalte «1-dags» sårbarheter. Dette er sårbarheter som er kjente og som har fått utbedringer, men så kort tid etter utbedringene at mange ennå ikke har fått det med seg eller har oppdatert systemene sine.

Skadevaren skal komme fra «økonomisk motiverte» aktører, og skal kamuflere seg som sikkerhetsoppdateringer eller lignende, nettopp for å sikte seg inn mot sårbarhetene den er laget for å utnytte.

En mindre versjon av NerbianRAT skal også ha blitt oppdaget. Denne, kalt MiniNerbian, skal være laget for å infisere systemer som så kan benyttes som en slags servere som støtter NerbianRAT-infiserte systemer.

NerbianRAT-koden for Windows skal være mer robust enn vanlig, heter det, og ser ut til å være bygget for å skjule seg selv og samtidig hindre konkurrenter i å kopiere og modifisere koden. Linux-varianten, derimot, skal mangle disse og være nærmest slurvete i forhold.