En un post publicado el jueves en el blog de la unidad 42 del equipo de inteligencia de Palo Alto se reportó que esta versión ha estado activa durante más de una año, pero fue liberada a partir del pasado mes de julio. Aprovechando los bajos niveles de detección de algunos antivirus, el backdoor se distribuye a través de documentos en formato ZIP (normalmente a través de un email).
Este archivo contiene un directorio con lo que aparenta ser un documento de Microsoft Word, pero en realidad es un bulto de aplicación que oculta al troyano. Esta es una notable diferencia respecto a otros malwares de MacOS, incluyendo a las anteriores versiones de OceanLotus backdoor, ya que la practica más común es suplantar un instalador de aplicaciones para programas como Adobe Flash.
Para disipar sospechas, esta nueva variante abre un documento señuelo, un truco que es mucho más común ver en los malware de Windows. Además la falta de líneas de comando y cadenas sospechosas ayudan a ocultar su malicioso propósito.
Otra de las novedades de este malware es su protocolo binario personalizado para comunicarse con el servidor, estas comunicaciones se hacen a través del puerto 443 vía TCP, un puerto que es normal que no sea bloqueado por los cortafuegos tradicionales debido a su uso en conexiones HTTP. En este mismo año los investigadores de FireEye/Mandiant han identificado como los promotores de diferentes campañas maliciosas al grupo OceanLotus, de hecho se puede afirmar con casi total seguridad que este grupo también ha estado detrás de la Operación Colbat Kitty, un sofisticado ataque de Spear Phishing cuyo objetivo era una compañía asiática.