研究者在HackingTeam上發現了新開發的Mac惡意軟件，這項發現促使了投機活動。自從去年七月以來，這款臭名昭著的惡意軟件造成了數Gbytes集團私人郵件和源代碼的流出，如今這款軟件作者再次出現在公眾視野中。

大量泄漏的資料揭露了Hacking Team在混亂中最私人的時刻。公司的CEO上個月開玩笑道：想象一下,解釋地球上最邪惡的技術。

二月四日，樣品上傳到了谷歌所屬的VirusTotal掃描服務器，而此時它并沒有受任何主要反病毒程序檢測。在本周星期一的報告中，檢測到了56個中的10個音視頻服務。SentinelOne安全研究員Pedro Vila a在周一早上發布了技術分析，安裝程序最后在十月或是十一月更新，嵌入式加密密鑰在十一月十六日更新，也就是HackingTeam入侵的三個月之后。樣品安裝了一份HackingTeam的簽名遠程代碼系統入侵平臺，這使得Vila a得到一種結論，盡管集團承諾在七月份回歸新代碼，設備配置的復原大部分依賴于一般的源代碼。

Vila a 寫到：HackingTeam依舊十分活躍，正如電子郵件泄露事件，我們依然無濟于事。如果你對OS X惡意軟件反向工程不了解，那它是一個很好的練習樣品。我最關心的問題已有了答案，其他的事情我便不再感興趣。泄露事件之后我不會再記得這些人了。

Synack的Mac安全專家Patrick Wardle測試樣本后表明，安裝一個新版 HackingTeam，需要一些先進技術躲避檢測分析。舉例來說，用蘋果本地加密計劃保護二進制文件的目錄，讓其成為Wardle曾經做過的惡意植入安裝程序。然而Wardle不能破解加密，因為蘋果使用了一種靜態硬編碼密鑰——通過這些文字防御努力守護，請不要竊取AppleC——這是逆向工程專家長久以來眾所周知的事。即便如此，他還是發現安裝程序被數字包封束縛。這也限制了他想進行的不同種逆向工程以及分析。

樣品仍然遺留許多未解決的問題。例如，惡意軟件的安裝仍不明確。有一種可能是欺騙目標安裝良性應用程序文件。另一種可能是執行安裝時被秘密捆綁。想知道Mac是否被感染的人們會檢查~/Library/Preferences/8pHbqThW/目錄中名為 Bs-V7qIU.cYL的文檔。

Vila a說他不能確鑿地肯定新樣品是HackingTeam的成果。自從七月，包括Remote Code Systems源代碼在內的400G數據被攻破以來，其他人或者集團也有可能重新編譯代碼并發布到新型安裝程序中。然而Vila a 說Shodan調查中心的證據和VirusTotal的IP地址掃描表明，樣品中提到的指令和控制服務器在一月份又活躍起來。也就是說新型惡意軟件不僅僅是單純的騙局。