I løbet af de seneste otte år har Kaspersky set, at mere end et dusin Advanced Persistance Threat (APT) grupper går målrettet efter Linux. Blandt de kendte it-kriminelle grupper findes Barium, Sofacy, the Lamberts og Equation, hvor nogle af de seneste angreb hedder LightSpy by TwoSail Junk og WellMess. Det stadigt voksende arsenal af Linux-værktøjer til angreb gør det muligt for trusselaktører at gennemføre deres angreb mere effektivt og med større rækkevidde.

Mange store virksomheder og statslige enheder bruger Linux, som desktop-miljø, og det har fået de it-kriminelle til at udvikle malware til denne platform. Myten om, at malware sjældent rettes mod Linux, bare fordi det ikke er helt så udbredt som andre, er ikke sand. Mens målrettede angreb på Linux-baserede systemer stadig er ualmindelige, er der bestemt malware designet til dem - inklusive webshells, bagdøre, rootkits og endda skræddersyede exploits.

Desuden vildleder antallet af angreb; For selv om der er færre angreb på Linux servere, så giver et vellykket angreb langt større gevinst, da en Linux-server ofte også giver adgang til de endpoints, der kører på Windows eller macOS. Derved kan de it-kriminelle ofte få adgang til meget uden at blive opdaget.

For eksempel har Turla - en produktiv russisktalende gruppe kendt for sin eksfiltreringstaktik - været flittige brugere af Linux bagdøre. En ny ændring af Penguin_x64 Linux-bagdøren, som blev rapporteret om tidligere i år, har ifølge Kaspersky telemetri-inficeret snesevis af servere i Europa og USA så sent som i juli 2020.

Et andet eksempel er Lazarus, en koreansktalende APT-gruppe, der fortsætter med at udvide sit værktøjssæt og udvikle malware til andet end Windows. Kaspersky rapporterede for nylig om MATA (multi-platform) og deres analyse af to Lazarus-kampagner ('Operation AppleJeus' og 'TangoDaiwbo'), der blev brugt i økonomiske og spionageangreb, og som indeholdt Linux-malware.