Theo các chuyên gia, phần mềm độc hại "ProjectSauron" rất hiện đại và được thiết kế tinh vi nên có thể đây là sản phẩm của một nhóm tin tặc được tài trợ, nghĩa là được sự hỗ trợ của một tổ chức tình báo thuộc chính phủ. Phần mềm độc hại đã được kích hoạt ít nhất từ năm 2011 nhằm vào các mạng lưới cấp cao ở Nga, Trung Quốc, Thụy Điển, và các quốc gia khác.

Các nhà nghiên cứu tại các công ty an ninh máy tính Symantec và Kaspersky Lab đã cùng phối hợp để phát hiện ra phần mềm độc hại và cho rằng cho đến nay, hơn 30 địa điểm đã bị phát hiện nhiễm phần mềm độc hại, gồm cả một hãng hàng không ở Trung Quốc, một đại sứ quán tại Bỉ, và một tổ chức giấu tên ở Thụy Điển.

Khác với loại phần mềm độc hại nhằm vào người tiêu dùng gây ảnh hưởng đến máy tính để bàn, phần mềm ProjectSauron còn có tên là Remsec, hướng vào trọng tâm cụ thể hơn, mặc dù nó chạy trên nền tảng Microsoft Windows phổ biến. Phần mềm độc hại này được thiết kế để xâm nhập vào mạng máy tính của các tổ chức như chính phủ, các cơ quan quân sự, trung tâm nghiên cứu khoa học và hệ thống công nghệ thông tin của các công ty nhằm mục đích thực hiện hành động do thám trên các mạng lưới bị nhiễm độc, tiếp cận các hệ thống bị xâm nhập, đăng nhập các tổ hợp phím và ăn cắp thông tin cá nhân như thông tin và mật khẩu của người sử dụng.

Tên của phần mềm độc hại ProjectSauron có liên quan đến tên "Sauron" trong mã của phần mềm độc hại. Công ty Symantec cho rằng nó được tạo ra bởi một nhóm tin tặc lạ có tên là Strider.

Một trong những lý do mà các chuyên gia an ninh mất rất nhiều thời gian để phát hiện ra phần mềm ProjectSauron, là vì chương trình được thiết kế để trở nên gần như vô hình, trong đó, những kẻ tấn công sử dụng một mã duy nhất cho mỗi mục tiêu riêng biệt. Có nghĩa là phần mềm mã độc không kích hoạt biểu tượng cờ đỏ mà các nhà khoa học máy tính thường tìm kiếm trong mã độc. 

Mặc dù đã hoạt động từ năm 2011, nhưng năm ngoái, công ty Kaspersky Lab mới phát hiện ra hoạt động của tin tặc, khi công ty này được một trong số các khách hàng yêu cầu xem xét lại sự cố bất thường trong lưu lượng mạng.

Công ty Symantec mô tả phầm mềm ProjectSauron có một số "tính năng tàng hình", khiến cho phần mềm chống virus truyền thống khó phát hiện. Nó còn có khả năng lây nhiễm các máy tính không kết nối với internet thông qua sử dụng key USB.

"Phần lớn chức năng của phần mềm độc hại được triển khai trên toàn hệ thống, nghĩa là nó chỉ ở trong bộ nhớ máy tính và không bao giờ được lưu trữ trên đĩa", nhóm nghiên cứu cho biết. "Điều này cũng làm cho phần mềm độc hại khó bị phát hiện và cũng cho thấy nhóm tin tặc Strider là những kẻ tấn công thành thạo về mặt kỹ thuật".

Công ty Kaspersky cho rằng hoạt động của phần mềm độc hại ProjectSauron tại những vị trí bị lây nhiễm, gần như đã chấm dứt trong năm nay, nhưng không có gì đảm bảo về tình trạng này được duy trì. 

Nhóm nghiên cứu cho rằng nền tảng của phần mềm độc hại tinh vi này đã nhận được sự hỗ trợ nào đó từ chính phủ, nghĩa là nhiều kế hoạch và tiền bạc đã đổ vào cuộc tấn công này và nó có thể còn chưa kết thúc.