נחשפה BendyBear – נוזקה מתוחכמת ביותר שמקורה בסין ואשר שימשה בידי קבוצת מרגלי הסייבר הקרויה BlackTech. את הנוזקה חשפו אנשי יחידה 42, צוות איומי הסייבר של פאלו אלטו. רבים בקהילת המחקר של איומי הסייבר מעריכים שיש לקבוצה קשרים עמוקים עם המשטר הסיני. על פי ציוץ של סייברקום, מפקדת הסייבר של צבא ארה"ב, הנוזקה חשודה כמי שהופעלה לצורך חדירות לגופי ממשל בדרום מזרח אסיה – מזה כעשור. BendyBearהוא משחק מילים בין "שטן" ובובה בשם זה. לפי החוקרים, היא וריאנט של הנוזקה המוכרת בשם WaterBear, המוכרת ופעילה מאז 2009. על פי ניתוח קודם של טרנד מיקרו (Trend Micro), הנוזקה היא מרובת יכולות מגוונות, ומסוגלת להעביר קבצים, ללכוד מסכים, ועוד. התוכנה הזדונית החדשה פועלת בשיטה של החדרת קוד ייעודי (shellcode) ש"פותח את הדלת" להורדת מטען רחב יותר של קבצים זדוניים למערכות שנפרצו – יותר מ-10 מגה-בייט – שעימם משתלטת הנוזקה על שרתי פיקוד ובקרה (C2) ועוד. על פי ניתוח קודם של טרנד מיקרו, על פי חוקרי יחידה 42, מה שהופך אותה למסוכנת וייחודית הוא השינוי שהיא עוברת לאחר החדירה, כמו גם העובדה שהיא משתמשת בהצפנה אלגוריתמית כדי להתחמק מזיהוי על ידי תוכנות ניטור שונות. כמו כן, מפתחי BendyBear הנדסו את התוכנה כך שהיא טוענת את מטען הקבצים הזדוניים לזיכרון – ולא לדיסק, כדי לא להשאיר עקבות דיגיטליים של הפריצה. בהמשך, היא משתמשת בדרכים מתוחכמות נוספות כדי לחמוק מזיהוי, מה שהופך את איתורה של BendyBear לקשה מאוד. בין היתר, היא מסתירה את התקשורת שלה עם שרתי הפיקוד והבקרה ומסתתרת מאחורי תקשורת שנראית תמימה ושגרתית. בבלוג החברה כתבו חוקרי פאלו אלטו, כי "אנחנו מפרסמים היום תובנות ראשוניות בנושא BendyBear ונתונים נוספים, בשיתוף פעולה עם גורמים ממשלתיים ותעשייתיים אמינים. זאת, במטרה לעצור את התפשטות הנוזקה ולצמצם את הפגיעה שלה בחברות. עם זאת, וחרף המלחמה המתמשכת שלנו בנושא, ארגונים צריכים להיות ערניים כלפי תוקפים המשתמשים בטקטיקות שונות כדי להסתיר את זהותם, כפי שקרה במקרה הנודע של סולארווינדס (SolarWinds)". החוקרים משערים שהמוטיבציה לפיתוח BendyBear היא ריגול. על מנת לתת מענה לקוד הזדוני, פאלו אלטו מספקת מידע, "המאפשר זיהוי של חדירת הקוד ( Indicators of Compromise) ונתונים אחרים, שיאפשרו לארגונים לקבוע אם הם נפגעו על ידי BendyBear ולחסום תקיפות עתידיות".