Pesquisadores russos afirmam ter identificado o desenvolvedor por trás de uma ferramenta maliciosa de acesso remoto utilizada em ataques direcionados a organizações russas. Conhecido pelo pseudônimo Mr. Burns, o desenvolvedor é ativo em fóruns da dark web desde 2010, especializando-se na criação de variantes maliciosas de ferramentas de administração remota como TeamViewer e RMS (Remote Utilities). A empresa de cibersegurança russa F.A.C.C.T., responsável pela identificação, nomeia a ferramenta como BurnsRAT e atribui seu criador a um cidadão ucraniano de 38 anos chamado Andriy R., residente na cidade de Ternopil. No entanto, essa atribuição não foi confirmada independentemente, devido à limitada visibilidade das empresas de cibersegurança ocidentais dentro das redes russas desde a retirada após a invasão da Ucrânia.

Além do BurnsRAT, outro ator conhecido como VasyGrek tem sido detectado implantando ferramentas como MetaStealer, WarzoneRAT e RedLine, direcionadas a empresas russas. Esses ataques frequentemente se utilizam de e-mails com temas financeiros, como ordens de pagamento, como iscas, demonstrando um alto grau de sofisticação e direcionamento. O mais recente ataque conhecido de VasyGrek contra uma vítima não identificada na Rússia ocorreu em maio de 2024.

A ferramenta BurnsRAT está disponível para aluguel mensal por US$ 1.200, permitindo que seus operadores executem diversas operações maliciosas, como gerenciar, carregar e excluir arquivos no sistema da vítima, bloquear o teclado e a tela, além de desligar ou reiniciar o computador conforme necessário. Os pesquisadores envolvidos no estudo optaram por não divulgar publicamente os dados pessoais de Mr. Burns por razões éticas, mas transferiram todas as informações coletadas para as autoridades de aplicação da lei para investigação subsequente.