http://www.volexity.com/blog/?p=158에서 Hacking Team에 의해 유출된 ZeroDay 취약점인 CVE-2015-5119를 이용한 RAT Bot 유형 (Gh0st 로 확인됨) 유포 정황 확인
메일 형태로 사용자에게 전송되며, 악의적인 HTML 페이지 접속을 유도하여 유포를 시도
Gh0st 통신 시 사용되는 zlib 압축 알고리즘이 확인되나 앞의 Flags 값의 변형이 확인된다.
일반적으로 Gh0st의 Flags는 (offset 0부터) Gh0st, A1CEA 등 주로 10byte 미만으로 확인되나 여기서 확인된 Flags는 "HTTP/1.1 Sycmentec"로 확인된다.
다만 Flags 뒤에 오는 d3 값은 10진수로 211인데, 이는 알고 있는 바로는 zlib 압축 해제 전의 payload 사이즈로 알고 있는데 이 값이 일치하지 않는다. 이에 대한 내용은 확인이 필요할 듯 하다.