Onderzoekers hebben malware ontdekt die van een groep cyberspionnen genaamd APT28 afkomstig zou zijn en in staat is om van besmette Mac-computers iPhone-back-ups, wachtwoorden en screenshots te stelen. APT28 staat ook bekend als 'Fancy Bear', 'Pawn Storm', 'Sofacy' en 'Sednit'.

De groep wordt voor een groot aantal aanvallen verantwoordelijk gehouden. Eerder werden de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma, de presidentscampagne van Hillary Clinton, het Wereld Anti-Doping Agentschap (WADA), MH17-onderzoekers van het onderzoekscollectief Bellingcat en John Podesta door de groep aangevallen. De aanvallers maken hierbij onder andere gebruik van malware genaamd X-Agent. Deze Windows-malware is in het verleden al voor iOS en Linux aangepast. Nu meldt het Roemeense anti-virusbedrijf Bitdefender dat het een versie voor macOS heeft ontdekt.

Vorig jaar werd al duidelijk dat APT28 zich op Mac-computers richtte, maar destijds ging het om een ander malware-exemplaar. De nu ontdekte versie van X-Agent communiceert met domeinen die op domeinen van Apple lijken. Hoe de malware op systemen komt maakt Bitdefender niet duidelijk, behalve dat hiervoor waarschijnlijk de Komplex-downloader wordt gebruikt. Eenmaal actief kan de malware screenshots van de desktop maken en wachtwoorden uit de browser stelen. "Maar het belangrijkste onderdeel, vanuit het verzamelen van inlichtingen gezien, is degene waarmee de aanvallers iPhone-back-ups van een besmette Mac kunnen stelen", aldus Bitdefender. De virusbestrijder zal binnenkort meer details over de malware vrijgeven.