De in China ontwikkelde Gh0st backdoor werd in 2009 wereldwijd bekend toen de malware bij overheidsinstanties en niet-gouvernementele organisaties van 103 landen werd aangetroffen. Ondanks alle aandacht is de Gh0st-malware nog steeds in gebruik, zowel door scriptkiddies als serieuzere aanvallers. "Cybercriminelen gebruiken standaard malware niet alleen omdat het eenvoudig en goedkoop is. Ze gebruiken het ook omdat het lastig te traceren is. Iedereen kan deze malware gebruiken, dus de crimineel kan iedereen zijn", zegt Snorre Fagerland van anti-virusbedrijf Norman.

Dit verandert echter als de aanvallers de code van de malware aanpassen. "De malware is nu wel enigszins toe te schrijven en kan aan bekende zaken en criminelen groepen worden gekoppeld", merkt Fagerland op. Hij analyseerde meer dan 1200 Gh0st-exemplaren en bracht de connectie tussen verschillende campagnes in kaart.

Criminelen
Dan blijkt dat de actiefste campagnes genoeg connecties hebben die erop duiden dat dezelfde groep of individuen erachter zitten. "In de gevallen dat we iets over de verantwoordelijke identiteiten kunnen zeggen, zijn de betrokken personen als carrière criminelen te bestempelen", concludeert Fagerland.

Het gaat dan om mensen die bij veel meer online misdaad zijn betrokken en hier ruime ervaring mee hebben. Daarbij maken ze ook slachtoffers in China. De kleinere clusters zijn volgens de onderzoeker interessanter, omdat ze lastiger te traceren zijn. "Aangezien ze minder sporen achterlaten van wie er achter de aanval zit en wat het doel is." Het gaat dan onder andere om gerichte aanvallen.