一般來說扣掉有「國家力量」在背後的惡意程式，惡意程式通常來得又急又快，造成的影響很大且目標明確，像是竊取金錢。但最近卡巴斯基實驗室發現的惡意程式，行跡實在太隱密了，花了 6 年時間才被找出來，可說是罕見靜悄悄的惡意程式，很可能是國家在背後資助。

這支惡意程式 Slingshot，被形容是目前發現最先進的攻擊平台，比起先前侵入比利時電信的 Regin，或也被懷疑是國家力量 Sauron，可說毫不遜色。通常只有富有的國家，才有資源開發如此強大的惡意程式。

卡巴斯基的報告指出，Slingshot 由不同組件構成，構成相當有彈性，且是運作良好的網路間諜情報工具。卡巴斯基 25 頁的報告還稱讚 Slingshot 不只以技術角度解決遇到的問題，還用相當精巧的方式，整合新舊不同元件，順利圓滿達成潛伏目的。

Slingshot 在全球感染至少 100 台電腦，研究者仍搞不清礎 Slngshot 最初是怎麼感染這些目標。然而在一些案例中，Slingshot 能進入拉脫維亞製造商 MikroTik 的路由器，之後植入惡意程式碼。Slingshot 藉由取代動態連結函式庫檔案，完成初步的攻擊。


▲ Slingshot 侵入的模式圖。（Source：卡巴斯基）

Slingshot 完成初步的入侵之後，即會與遠端的控制中心連線，這時候 Slingshot 才會下載主要元件。Slingshot 的最大兩個元件是 Cahnadr 和 GollumApp，擔負重要功能。前者能在 kernal 模式執行，避免當機或藍螢幕，後者相當巨大，快要 1,500 行程式碼，提供檔案存取、C&C 通訊等功能。

卡巴斯基實驗室認為 Slingshot 設計的目的是拿來進行特工活動，記錄鍵盤行為和剪貼簿內容。由於 Slingshot 能在 kernal 模式運行，意味電腦的硬體，如硬碟、記憶體都能存取。目前 Slingshot 感染的電腦集中在肯亞和葉門，但在阿富汗、利比亞、剛果等地也有發現。受害者看來是被單獨針對，而非因為特定組織而被鎖定。


▲ 目前發現感染 Slingshot 的地區分佈狀況。（Source：卡巴斯基）

卡巴斯基還發現開發者是用英文撰寫，儘管卡巴斯基並未試圖找出背後的開發者，但看來 Slingshot 是國家力量在背後支援。