臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序，以安装Poison Frog后门程序。

       Poison Frog是OilRig集团武器库中最强大的后门之一，它包含一个面板，面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。

      卡巴斯基研究人员还发现了一个新样本，它是一个用C语言编写的PE可执行文件，只有删除包含后门Powershell脚本的功能。在同样的逻辑下，还发现了另一个脚本，它有两个不同的长字符串，包含DNS和HTTP后门也就是Poison Frog后门。

      为了安装恶意软件，OilRig威胁组织成员还巧妙使用了计俩，将恶意软件伪装成合法的Cisco AnyConnect应用程序。

       卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现，起到欺瞒用户的作用，使用户误认为是应用程序或互联网的接入有问题，而实际上却是在悄悄的将后门安装在系统上。”