去年11月资安业者Proofpoint在电子邮件攻击行动里，发现名为Latrodectus的恶意程式，其主要功能是下载恶意酬载，然后执行攻击者下达的命令，研究人员指出，该恶意程式的攻击行动，在今年2月至3月出现增加的情形。

他们先后看到两组人马使用Latrodectus，去年11月，负责扮演「初始入侵管道掮客（IAB）」角色的骇客组织TA577，曾在3起攻击攻击行动使用该恶意程式，但之后改用Pikabot；自12月开始，另一个骇客组织TA578跟进采用Latrodectus，对方透过恶意程式Danabot传送。

但值得留意的是，这些骇客在今年2月改变攻击手法，他们假借多家公司的名义，宣称目标组织侵犯著作权，在网站上填写表单，其中的文字含有URL，一旦目标组织的人士点选，就会被带往特定的回报网页，并从网页应用程式开发平台Firebase下载JavaScript档案，一旦该档案执行，就会从WebDAV共享资料夹启动MSI安装档，从而在电脑执行Latrodectus。

经过他们的比对，这款恶意程式的基础设施与IcedID重叠，并具备部分IcedID的特质，研究人员推测，Latrodectus很有可能是开发IcedID的团体打造。