اكتشفت شركة بالو ألتو المتخصصة في أمن المعلومات، خلال دراسة تحليلية لإحدى الهجمات التي استهدفت واحدة من مؤسسات الاتصالات في منطقة الشرق الأوسط، أداة تابعة لمجموعة التجسس OilRig، وتعرف هذه الأداة باسم RDAT، وهي أداة تستخدم رسائل البريد الإلكتروني كوسيط للسيطرة والتحكم C2 والتي تعتمد على أسلوب إخفاء الأوامر والبيانات ضمن صور بصيغة bitmap مرفقة برسائل البريد الإلكتروني.
ولاحظت بالو ألتو سلوكا وأدوات مريبة استهدفت مؤسسات الاتصالات في منطقة الشرق الأوسط خلال أبريل من العام الجاري، وتحديدا باستخدام أدوات مثل Mimikatz و Bitvise وملفات تحميل أوامر PowerShell إضافة إلى عدد من ملفات الاختراق الضارة والتي يتم رصدها تحت مظلة أدوات RDAT.
وقد عملت بالو ألتو على تتبع أدوات RDAT منذ العام 2017، حين رصدت أول حادثة لتحميل الأداة عبر منصة webshell لأوامر تحكم ذات وجه مزدوج سبق الحديث عنها في مدونة “اضطرابات النفط” والمنشورة بتاريخ 26 سبتمبر 2017.