V roku 2013 hackerská skupina, známa ako „Wild Neutron" alebo „Jripbot" či „Morpho", zaútočila na niekoľko významných technologických firiem ako sú Apple, Facebook, Twitter či Microsoft.
Po odhalení činnosti skupiny sa hackeri na takmer rok stiahli do ústrania, pričom na prelome rokov 2013 a 2014 sa znovu objavila a jej útoky pokračujú aj v roku 2015. Pri svojich útokoch skupina využíva odcudzený platný bezpečnostný certifikát a doposiaľ neodhalenú zraniteľnosť v programe Flash Player, cez ktorú infikovali firmy a jednotlivcov na celom svete, pričom sa zameriavali primárne na citlivé obchodné a ekonomické dáta.
Spoločnosti Kaspersky Lab, ktorá o ich útokoch informuje, sa podarilo identifikovať obete skupiny Wild Neutron v 11 krajinách a územiach vrátane Francúzska, Ruska, Švajčiarska, Nemecka, Rakúska, Palestíny, Slovinska, Kazachstanu, Spojených arabských emirátov, Alžírska a USA. Sú medzi nimi právnické firmy, spoločnosti zaoberajúce sa virtuálnou menou bitcoin, investičné firmy a IT spoločnosti, ako aj spoločnosti z oblasti zdravotníctva, nehnuteľností, veľké skupiny zaoberajúce sa fúziami a akvizíciami ako aj individuálny používatelia.
"Použitie tzv. zero-day zraniteľností, multiplatoformového malvéru a iných pokročilých techník poukazuje na silného hráča zapojeného do špionáže s pravdepodobným ekonomickým motívom," píše spoločnosť Kaspersky Lab v tlačovej správe.
Pôvodný zdroj infekcie zatiaľ nie je známy, ale indície naznačujú, že obete boli napadnuté cez infikované webstránky neznámou bezpečnostnou chybou vo Flash Playeri. Výskumníci Kaspersky Lab zaznamenali útoky, pri ktorých bol kód označený platným bezpečnostným certifikátom. Platný certifikát umožnil malvéru schovať sa pred odhalením viacerými bezpečnostnými riešeniami. Certifikát použitý pri útokoch skupiny Wild Neutron bol pravdepodobne odcudzený známemu výrobcovi elektroniky a v súčasnosti je už zrušený. Po prieniku malvér nainštaloval do systému zadné vrátka (tzv. backdoor).
Malvér sa vo svojej funkcionalite výrazne nelíši od mnohých ďalších nástrojov na vzdialenú kontrolu (Remote Access Tools). Čím sa ale odlišuje od ostatných, je mimoriadna dôkladnosť, s akou sa útočníci snažili utajiť adresu riadiaceho servera (C&C) a ich schopnosť konsolidácie po jeho vypnutí. Riadiaci server je pritom dôležitou súčasťou infraštruktúry útočníkov a slúži ako „základňa" pre malvér vysielaný do zariadení obetí. Špeciálne prvky zabudované priamo v malvéri útočníkom pomáhali ochrániť infraštruktúru pred akýmkoľvek vypnutím riadiacich serverov.
Pôvod útočníkov zostáva záhadou. V niektorých vzorkách sa našla konfigurácia obsahujúca reťazec "La revedere" (t.j. dovidenia po rumunsky), ktorý označuje koniec C&C komunikácie. Výskumníci spoločnosti Kaspersky Lab navyše objavili ďalší reťazec „uspeshno", ktorý je prepisom ruského slova "Успешно" (úspešne).