Активне з 2016 року ПЗ використовує новий бекдор, який отримав назву Gazer. Вважається, що за цим стоїть хакерська група Turla Advanced Persistent Assault (APT), яка раніше була пов'язана з російською розвідкою.

Gazer, написаний на C++, здійснює передачу електронних листів з фішингом і заражає цільові комп'ютери. Зловмисне ПЗ скидає Skipper backdoor, який раніше був пов'язаний з Turla, а потім встановлює компоненти Gazer. В ході попередніх кампаній в галузі кібер-шпигунства група використовувала брандмауер "Карбон" та "Казюар" як шкідливі програми другого ступеня, які аналогічні з Gazer.

Gazer отримує зашифровані команди з віддаленого сервера та уникає виявлення, використовуючи скомпрометовані, законні веб-сайти (які в основному використовують WordPress CMS) як проксі.

Замість того, щоб використовувати API Windows Crypto, Gazer використовує спеціальні бібліотеки шифрування 3DES та RSA для шифрування даних, перш ніж надсилати їх на сервер C&C.

Gazer використовує технологію введення коду, щоб взяти під контроль комп’ютер і заховати себе протягом тривалого періоду часу, намагаючись викрасти інформацію. Він також має можливість передавати команди, отримані однією зараженою кінцевою точкою, іншим зараженим пристроям у тій же мережі.

За словами дослідників, Gazer вже встиг заразити цілий ряд цілей у всьому світі, причому більшість жертв перебувають у Європі.