Hoạt động từ năm 2016, chiến dịch mã độc sử dụng backdoor mới có tên Gazer, được thực hiện bởi tổ chức tin tặc Turla; trước đó đã từng liên quan tới tình báo Nga. Gazer được viết bằng ngôn ngữ lập trình C++, phát tán thông qua email lừa đảo và chiếm quyền kiểm soát máy tính của nạn nhân.


Trong các chiến dịch trước đó, nhóm tin tặc Turla sử dụng các loại backdoor Carbon và Kazuar khá giống với Gazer hiện tại. Gazer nhận lệnh được mã hóa thông qua máy chủ điều khiển từ xa và giả mạo các trang web truyền thống nhằm tránh bị phát hiện.

Thay vì sử dụng Windows Cryto API, Gazer sử dụng một thư viện mã hóa 3DES và RSA để mã hóa dữ liệu trước khi gửi đến máy chủ điều khiển. Gazer sử dụng kỹ thuật chèn mã độc (code-injection) nhằm nắm quyền kiểm soát thiết bị và tránh bị phát hiện. Gazer backdoor cũng có khả năng truyền lệnh của tin tặc từ thiết bị lây nhiễm này sang thiết bị lây nhiễm khác trong cùng mạng.

Mã độc Gazer lây nhiễm trên toàn cầu, hầu hết nạn nhân tại châu Âu. Công ty bảo mật Kaspersky Lab cũng đã phát hiện ra loại mã độc này và đặt tên chiến dịch tấn công là “Whitebear”.