Bằng cách dùng Rootkit UEFI BIOS , nhóm Hacking Team đã tạo ra module cho phần mềm giám sát Hệ thống điều khiển từ xa RCS , để kiểm tra xem hệ điều hành đã bị nhiễm độc hay chưa mỗi khi khởi động lại và lây nhiễm lại nếu như hệ thống chưa bị nhiễm độc .
Sau khi xem xét 400GB dữ liệu lấy được từ Hacking Team , Trend Micro đã phát hiện ra cách thức lây nhiễm mã độc . Việc cài đặt cần ba file để sao chép lên máy mục tiêu . Hacking Team cho biết việc này chỉ có thể thực hiện nếu như ngồi truy cập trực tiếp tới máy nạn nhân nhưng Trend Micro nói rằng “ không điều gì là không thể cài đặt từ xa” .
3 module được đề cập tới đó là ntfs.mod cho phép Đọc/Ghi file NTFS tới UEFI BIOS , rkload.mod để kết nối tới những sự kiện UEFI tới những hệ thống khởi động , và dropper.mod , là Kit đơn giản để thả mã độc đặt scout.exe tới máy tính người dùng nếu như hệ thống chưa bị nhiễm độc .
Scout.exe thường được cài đặt trong \"\\Users\\[username]\\AppData\oaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\6To_60S7K_FU06yjEhjh5dpFw96549UU,\" , trong khi đó Rootkit UEFI chỉ kiểm tra sự có mặt của file thứ hai có tên là soldier.exe , nhưng mã nguồn của nó không tiết lộ những thụ tục cài đặt .
Rootkit UEFI là module hoàn hảo cho Hệ thống điều khiển từ xa RCS , là phần mềm giám sát được quảng cáo là “Hack cho chính phủ” .
Module này cho phép các cơ quan chính phủ sử dụng các công cụ gián điệp để theo dõi máy tính nạn nhân trong thời gian dài .