Eerder dit jaar werden de spionagemalware Flame en Gauss ontdekt, nu is er opnieuw een spionage-tool waargenomen, MiniFlame. Het stukje malafide software zou van dezelfde ontwikkelaars afkomstig zijn.

MiniFlame is als het ware een precisie-instrument, waar Flame en Gauss simpelweg het hele systeem konden waarnemen en zelfs besturen. MiniFlame is er op gericht om niet ontdekt te worden, waarschijnlijk werd deze malware dan ook gebruikt bij belangrijke personen.

Het Russische antivirus bedrijf Kaspersky dat het geval MiniFlame onderzocht, dacht in eerste instantie dat ze te maken hadden met een component van Flame en dat het niet op zichzelf kon werken. Maar niks was minder waar, de malware kon wel degelijk alleen opereren, daarnaast kon het ook modules installeren om gegevens te onderscheppen.

Kaspersky heeft nog niet veel infecties van MiniFlame vast kunnen stellen, op dit moment gaat het om slechts 50 tot 60 computers. Dit staat in schril contrast met de 5.000 tot 6.000 infecties van Flame en de 10.000 infecties van Gauss. Stuxnet, dat in verband wordt gebracht met Flame omdat sommige code precies hetzelfde is geschreven, infecteerde ongeveer 300.000 computers.

Wat opvalt is dat de IP-adressen van de slachtoffers van Flame vooral uit Iran en Sudan komen, Gauss richtte zich vooral op Libanon. Hoewel MiniFlame zich ook vooral richt op Libanon, is het opvallend hoe veel IP’s er uit Frankrijk komen. Dit valt gedeeltelijk te verklaren doordat sommige IP’s via proxies of VPN’s verlopen.

Infecties MiniFLame