De malware werd niet gedetecteerd door virusscanners en is enige jaren onder de radar gebleven, ontdekte RSA. Bedrijven konden in theorie exfiltratie van gegevens oppikken via forensische netwerktools en op deze manier ontdekte een Amerikaans bedrijf in februari dat er iets niet in de haak was. RSA vond een sample van de stiekeme trojan die GlassRAT werd gedoopt, omdat de tool onzichtbaar was voor securityproducten.

Gestolen certificaat

De sample die vroeg in 2015 werd ontdekt, dook weer op in september, waarna het beveiligingsbedrijf dieper kon graven (PDF). De later gehanteerde dropper (die zich voordeed als Flash-installatieprogramma) gebruikte volgens RSA een gestolen certificaat van "een populair Chinees softwarebedrijf dat wordt vertrouwd door 500 miljoen gebruikers".

De CA werd eerder dit jaar geïnformeerd en het misbruikte certificaat is inmiddels ingetrokken. De malware blijkt zich vooral op Chinezen te richten en werd opgemerkt bij het systeem van een Chinese burger die werkzaam was bij een Amerikaanse multinational. Volgens RSA maakt de Remote Access Tool deel uit van een spionagecampagne die zich richt op het Filipijnse leger.