Kaugjuurdepääsu troojalased on viimastel aastatel kasvanud ja on muutunud tavalisemaks kui isegi mõned maailma levinumad pahavara tüved. Eelkõige on alates COVID-19 puhangust Agent Tesla kaugjuurdepääsu troojalane (RAT) pandeemiahirmu edukalt ära kasutanud ja lisanud mitmeid uusi funktsioone. Agent Tesla saabus esmakordselt sündmuskohale üheksa aastat tagasi ja 2020. aasta esimesel poolel esines teda rohkem rünnakutes kui väga populaarseid pahavaraohte TrickBot või Emotet, eriti ettevõtete vastu.
Agent Tesla on spetsialiseerunud klahvilogimisele ja andmete varastamisele. Selle uued kahendfailid pakuvad tugevamaid levitamis- ja süstimismeetodeid ning on võimelised varastama traadita võrgu üksikasju ja mandaate. Agent Tesla saab koguda ka konfiguratsiooniandmeid ja mandaate mitmelt levinud VPN-kliendilt, FTP- ja meiliklientilt ning veebibrauserilt, sealhulgas Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail ja paljud teised.
Veel üks selle vanema kaugjuurdepääsu troojalase uus funktsioon on see, et variandid saavad nüüd tuua ohvri masinasse installimiseks sekundaarseid käivitatavaid faile ja seejärel sisestada koodi nendesse teise astme binaarfailidesse kõrvalehoidmise tuvastamise meetodina.
Ühes kampaanias jälgisid teadlased, et agent Tesla kukutas RegAsm.exe koopia ja sisestas sellesse lisakoodi; seetõttu tegeles RegAsm.exe andmete kogumise ja väljafiltreerimise põhitöödega. Süstimine toimub protsessi õõnestamise teel, mille käigus süsteemimälu osad eemaldatakse selle ruumiga ja jaotatakse seejärel ümber pahatahtliku koodiga.
Pahavara käitamises on täheldatud ka muid täiustusi. Pärast koodi käivitamist kogub pahavara kohalikku süsteemiteavet, installib klahvilogija ja seejärel lähtestab rutiinid andmete tuvastamiseks ja kogumiseks. Selle protsessi käigus otsib pahavara traadita võrgu sätteid ja mandaate.
Kuigi agent Tesla on tegutsenud juba mitu aastat, arendavad ründajad pidevalt uusi viise selle kasutamiseks, säilitades samal ajal anonüümsuse ja vältides tuvastamist.