Как отметил Крохн, в отчете Министерства внутренней безопасности США используемый в ходе GRIZZLY STEPPE инструмент называется "PAS tool PHP web kit". Эксперты министерства также опубликовали файл YARA Signature, позволяющий любому идентифицировать его.
Согласно исследователям компании Wordefence, вредонос представляет собой web-шелл P.A.S. – популярное вредоносное ПО для сайтов под управлением WordPress. Как обнаружили эксперты, инструмент связан с украинским сайтом Profexer.name.
Данный ресурс выдает SSL-сертификат, идентифицирующий его как pro-os.ru и предоставляющий электронный адрес aazzz@ ro .ru. В настоящее время сайт отключен, а срок регистрации домена истек, однако Архив интернета содержит его копии с апреля по май 2015 года. Судя по всему, ресурс специализировался на вредоносном ПО.
В контактах на pro-os.ru указан адрес roman@pro-os .ru и страница в соцсети "ВКонтакте", принадлежащая некоему Роману Алексееву. В настоящий момент данная страница заблокирована из-за "подозрительной активности".
На сайте toster.ru адрес aazzz@ ro.ru числится за Романом Алексеевым. В Сети Алексеев называет себя web-разработчиком и предлагает соответствующие услуги. На сайте Freelancehunt.com имеется фотография Алексеева, зарегистрированного под псевдонимом aazzz. Согласно указанным на сайте данным, разработчику 25 лет и проживает он в Запорожье (Украина).
Что интересно, на самом деле фото принадлежит студенту Полтавского национального технического университета Ярославу Панченко. Не исключено, что Панченко и Алексеев – одно и то же лицо, и имеет отношение к вредоносной кампании GRIZZLY STEPPE.