W raporcie opublikowanym przez francuską firmę Intego znalazł się opis złośliwego oprogramowania dla platformy Apple OS X, przeznaczonego do kradzieży danych z komputerów wykorzystywanych przez konkretne, wybrane osoby. Po dokładniej analizie stwierdzono fragmenty kodu, które wskazują na użycie do konstrukcji złośliwego oprogramowania narzędzi sprzedawanych agencjom rządowym oraz organom ścigania przez włoską firmę Hacking Team w cenie 200 tys. euro za kopię.

Wykryty trojan, nazwany Crisis przez firmę Intego, a Morcut przez Sophosa, zawiera narzędzia, które przechwytują informacje (włącznie z treścią rozmów głosowych) przekazywane przez komunikatory internetowe (Adium i MSN Messenger), przeglądarki Safari i Firefox oraz Skype'a. Potrafi także włączyć wbudowaną w komputer Apple kamerę i monitorować dźwięki za pomocą mikrofonu, wysyłać zrzuty ekranu, rejestrować wciskane klawisze oraz kopiować zapisane w systemie kontakty. Pozyskane w ten sposób informacje są wysyłane do pojedynczego serwera kontrolującego botnet.

Z dotychczasowej analizy, przeprowadzanej przez firmę Symantec, wynika, że Crisis prawdopodobnie nie wykorzystuje żadnej z licznych podatności systemu operacyjnego lub aplikacji, ale stosuje socjotechniki, by użytkownik samodzielnie zainstalował to oprogramowanie na swoim komputerze.

Trojan ukrywa się w systemie operacyjnym, instalując rootkita, a także manipulując monitorem aktywności systemu (OS X Activity Monitor), który normalnie pokazuje wszystkie pracujące procesy razem z ilością wykorzystywanej przez nie pamięci operacyjnej.

Ze względu na wysoki koszt pozyskania narzędzi do utworzenia kodu złośliwego oprogramowania, trojan ten jest produktem komercyjnym, przeznaczonym do działań szpiegowskich, być może szpiegostwa przemysłowego lub politycznego.