Преди две години от RSA признаха за пробива в системите им и кражбата на конфиденциална информация от сървърите им. Смята се, че последиците от атаката, която беше приписана на китайски хакери, е струвала много повече от 60-те милиона долара, които RSA са хвърлили за възстановяване на пораженията от пробива.По-късно се разбра, че при компютърната атака над сървърите на един от военните контрактори на САЩ,
Lockheed Martin е използван SecurID токена на RSA. Предполага се, че пробива над системите за сигурност над RSA и кражбата на данни за партньорите на компанията е спомогнало за успешно проведени атаки и кражба на информация от компании, правителствени агенции и политици.А днес от Dell и по-точно от подразделението на компанията Secure Works - същите, които
преди две години разкриха и намесата на Китай в инцидентите с RSA - съобщават за нова широкомащабна и високопрофилна атака, насочена към системи в Азия, САЩ и Европа. Експертите по сигурността Джо Стюарт и Дон Джаксън от Dell Secure Works са получили достъп до инфраструктурата на командните сървъри на Comfoo - виновникът за една от най-високопрофилните кибератаки засичани досега.В изложението на своето изследване Secrets of the Comfoo Masters, авторите обясняват, че за успеха на една APT-атака (advanced persistent threat - сложна устойчива заплаха) и най-вече за целите на това тя да продължи по-дълго е нужно вграждането в атакуваната система на сложен бекдор, който да помогне за "източването" на достигнатата информация. "Устойчивостта изисква наличието на малуер и топ-актьорите на кибершпионската сцена имат стотици RAT (remote administration tool)-ове на разположение по всяко време",
пишат Стюарт и Джаксън.За да може да прикрие своето присъствие на системата, Comfoo подменя DLL-пътеката на съществуваща, но неизползвана услуга. Наличието на нова услуга би спомогнало за откриването му, като обикновено Comfoo идва и с бекдор, който прикрива файловете му на системата. Друга характеристика е стартирането на ipnat услугата, която помага на отдалечените входящи връзки към заразената система да пропаднат и така да не може да бъде осигурена помощ от отдалечен администратор.По време на своето разследване, авторите разкриват над 200 варианта на Comfoo и 64 точки по света, които са били обект на целеви малуер кампании. И макар в предишните атаки да се е появявало името на една от най-големите хакерски групировки - китайската Beijing Group, то тук разработчиците не могат да заявят със сигурност, че става въпрос за тази групировка.Освен Индия, Япония и Южна Корея, авторите са открили, че цел на атаките са станали и точки в Европа и САЩ, а като причина за трудното му откриване те смятат сравнително ниския му профил на използване и честото му модифициране от неговите автори, като посочват обаче, че реално жертвите са много повече, отколкото се смята от повечето експерти.Веднъж достигнал командните сървъри на Comfoo, Стюарт открил някои от компрометираните машини, които изпращали съобщения към C&C-сървърите. От Secure Works не споменават имената на засегнатите компании, но уточняват, че въпросните компании са вече уведомени за пробивите. Макар и да не успели да видят съдържанието на открадваните данни, авторите станали свидетели на това как машините и мрежите били достигани от командните сървъри, като били записвани натисканите клавиши, ъплоудвани файлове, сваляни други, вземането на скрийншотове и др.Една от последните големи атаки осъществена от хакерите е била миналата година, която е засегнала много японски университети, министерства, общини, търговски организации, вестници и индустриални производители.В заключение Стюарт и Джаксън споделят, че Comfoo е върха на айсберга и реално жертвите са в пъти повече от забелязаните от Secure Works, като отбелязват, че ако се забележи, че представител на дадена индустрия е станал мишена на Comfoo хакерите, то вероятността и други около него да го последват е голяма.
Локации на засегнатите от Comfoo системи. 
