Des chercheurs italiens du CSE Cybsec ont découvert une porte dérobée sur les réseaux italiens, une «porte dérobée», utilisée pour contourner les défenses des systèmes informatiques. Le port a été reconnu comme une variante de la célèbre porte dérobée X-Agent. Utilisée pour cibler les systèmes Windows, la porte dérobée fait partie de l'arsenal d'un groupe paramilitaire russe, connu sous l'acronyme APT28. C'est une criticité qui permet de prendre d'énormes quantités de données et d'informations à partir d'ordinateurs compromis et d'être envoyées à un centre de commande et de contrôle situé en Asie. APT28 (acronyme de Advanced Persistent Threath numéro 28), tire son nom de la technique utilisée.
Il s'agit d'une menace persistante avancée et d'un type de cyber-menace qui, une fois installée dans les serveurs et les systèmes, y reste pour mener à bien sa tâche de surveillance et de récupération de données, à des fins d'espionnage. Le groupe est actif depuis 2007 et cible les gouvernements, les organisations militaires et de sécurité.
APT28 est l'un des groupes de piratage les plus connus au monde pour avoir été impliqué dans le vol des courriels d'Hillary Clinton qui ont conduit le FBI de James Comey à enquêter sur ce sujet juste avant l'élection présidentielle américaine alors remportée par Donald Trump.
Le groupe bien organisé et financé est également connu sous d'autres noms tels que Sofacy, Fancy Bear, Pawn Storm, Sednit. Des experts ont repéré un autre malware contactant un serveur de commande et de contrôle avec le nom "marina-info.net". Selon les chercheurs, le logiciel malveillant ferait partie d'une attaque chirurgicale bien coordonnée alimentée par APT28 que Z-Lab a appelé "Roman Holiday Operation". Les deux logiciels malveillants ont également été signalés aux autorités dans un rapport accompagné des "règles Yara", afin de faciliter leur détection.