סוסים טרויאניים של גישה מרחוק צומחים בשנים האחרונות והפכו נפוצים יותר אפילו מכמה מזני התוכנה הנפוצים ביותר בעולם. בפרט, מאז התפרצות ה-COVID-19, הטרויאני עם גישה מרחוק של Agent Tesla (RAT) ניצל בהצלחה פחדים מגיפה והוסיף מספר תכונות חדשות. הסוכן טסלה הגיע למקום לראשונה לפני תשע שנים והופיע ביותר התקפות במחצית הראשונה של 2020 מאשר איומי התוכנה הפופולריים מאוד TrickBot או Emotet, במיוחד נגד עסקים.
הסוכן טסלה מתמחה ברישום מפתחות וגניבת נתונים. הקבצים הבינאריים החדשים שלו מציעים שיטות הפצה והזרקה חזקות יותר ומסוגלים לגנוב פרטי רשת אלחוטית ואישורים. הסוכן טסלה יכול גם לאסוף נתוני תצורה ואישורים ממספר לקוחות VPN נפוצים, לקוחות FTP ודוא"ל ודפדפני אינטרנט, כולל Apple Safari, Google Chrome, Edge, Mozilla Firefox, Mozilla Thunderbird, OpenVPN, Opera Mail ורבים אחרים.
תכונה חדשה נוספת של הטרויאני הישן יותר של גישה מרחוק זה היא שגרסאות יכולות כעת להביא קובצי הפעלה משניים להתקנה במכשיר של הקורבן ולאחר מכן להחדיר קוד לאותם קבצים בינאריים בשלב שני כשיטת זיהוי התחמקות.
בקמפיין אחד, חוקרים צפו בסוכן טסלה מפיל עותק של RegAsm.exe ומחדיר לתוכו קוד נוסף; לכן, RegAsm.exe טיפל בעבודות העיקריות של איסוף וסילוק נתונים. ההזרקה מבוצעת באמצעות חלול תהליך, שבו חלקים של זיכרון המערכת אינם ממופים עם החלל הזה ואז מוקצים מחדש עם קוד זדוני.
שיפורים אחרים נצפו בהתנהגות הביצוע של תוכנת זדונית. לאחר השקת הקוד, התוכנה הזדונית אוספת מידע מערכת מקומית, מתקין מפתח לוגר ולאחר מכן מאתחל שגרות לגילוי וקצירת נתונים. במהלך תהליך זה, התוכנה הזדונית סורקת אחר הגדרות רשת אלחוטית ואישורים.
למרות שהסוכן טסלה קיים כבר כמה שנים, התוקפים מפתחים כל הזמן דרכים חדשות להשתמש בו תוך שמירה על אנונימיות והימנעות מזיהוי.