Segundo o site The Register, o grupo de espionagem Witchetty (também conhecido como LookingFrog), tem usado um grande conjunto de ferramentas para atacar governos, missões diplomáticas, ONG e organizações industriais. A mais recente ameaça deste grupo, descoberta pelo Threat Hunter Team da Symantec, passa pela utilização de uma rara técnica de esteganografia, que esconde código malicioso num ficheiro de imagem.
A imagem utilizada pelo grupo Witchetty é a de um logótipo antigo do Windows. O código malicioso inclui um trojan backdoor (denominado Backdoor.Stegmap), que é capaz de executar um conjunto de comandos de sistema. Ao mascarar o código numa imagem, é possível escondê-lo à vista de todos num serviço considerado confiável e ao mesmo tempo evitar a sua identificação como uma ameaça de segurança. Neste caso, o grupo colocou a imagem no GitHub.
Depois do alvo ser comprometido, a imagem é descarregada a partir do GitHub. Depois de estar guardada na rede a atacar, o código pode ser desencriptado e utilizador para continuar a infiltração. Quando o ataque é bem-sucedido, o Whitchetty consegue instalar shell web em servidores que estejam ligados à Internet. Depois, conseguem roubar credenciais e instalar outro malware nos computadores ligados à rede.
A Symantec diz que as novas ferramentas do Witchetty, incluindo esta nova técnica de esteganografia já foram usadas para atacar duas agências governamentais no Médio Oriente e uma bolsa num país africano. Segundo a Symantec, este grupo tem a capacidade de fazer evoluir constantemente as suas ferramentas para atacar alvos de interesse.