Sekumpulan penggodam yang diketahui pernah menjadi arkitek pelbagai serangan pada masa lalu terhadap Pangkalan Perindustrian Pertahanan AS, serta syarikat penting lain di sektor ini, baru-baru ini mulai menggunakan program yang merangkumi sistem pintu belakang untuk menyerang dengan OS X.
Penyelidik keselamatan FireEye sudah mengulas di blog Khamis bahawa kod pintu belakang dipindahkan ke OS X dari pintu belakang Windows yang telah digunakan secara meluas dalam serangan yang disasarkan sejak beberapa tahun kebelakangan ini, telah banyak kali dikemas kini dalam proses tersebut.
Program jahat dijuluki XSLCmd dan mampu membuka shell terbalik untuk kawalan dan pemindahan fail, serta pemasangan program jahat lain pada komputer yang dijangkiti. Varian OS X juga boleh mendaftar ketukan kekunci dan tangkapan skrin, menurut penyelidik FireEye.
Apabila dipasang pada Mac, perisian hasad ini dipasang sendiri di »/ Library / Logs / clipboardd» dan »HOME / Library / LaunchAgents / clipboardd«. Ia juga membuat fail com.apple.service.clipboardd.plist untuk memastikannya berjalan setelah sistem dihidupkan semula. Malware mengandungi kod yang memeriksa versi OS X, tetapi bukan versi di atas OS X 10.8 (Mountain Lion). Ini menunjukkan bahawa versi 10.8 adalah versi OS X terakhir ketika program ditulis atau paling tidak yang paling biasa digunakan untuk tujuan yang dimaksudkan.
Pintu belakang XSLCmd dibuat dan digunakan oleh kumpulan pengintipan siber yang pernah beroperasi sejak sekurang-kurangnya 2009 dan telah digelar sebagai GREF oleh penyelidik FireEye. "Dari segi sejarah, GREF telah memimpin berbagai organisasi, termasuk Pangkalan Industri Pertahanan Amerika Syarikat (DIB), syarikat elektronik dan kejuruteraan di seluruh dunia, serta yayasan dan organisasi bukan kerajaan lain, terutama yang mempunyai kepentingan di Asia." .
Menurut FireEye:
OS X telah mendapat populariti di kalangan perniagaan, dengan pengguna yang tidak berpengalaman dengan cepat menyesuaikan diri dengan sistem baru dan merasa mudah dikendalikan, bahkan pengguna berteknologi tinggi menggunakan fitur yang lebih kuat, serta eksekutif […] Banyak orang juga menganggapnya sebagai lebih platform pengkomputeran selamat, yang boleh menimbulkan rasa puas diri yang berbahaya di kedua-dua jabatan IT. Sebenarnya, sementara industri keselamatan mula menawarkan lebih banyak produk untuk sistem OS X, sistem ini kadang-kadang kurang diatur dan dipantau di persekitaran korporat daripada rakan Windows mereka.
