براساس اسنادی که ویکی لیکس منتشر کرده، سازمان سیا آمریکا از بدافزاری با نام OutlawCountry برای هدف قرار دادن سیستم های لینوکس استفاده کرده است. باتوجه به آنچه که توسعه دهندگان این بدافزار توضیح داده اند، یک ماژول سطح کرنل است که برای ایجاد یک جدول netfilter مخفی طراحی شده است.
اپراتور در ادامه می تواند برای ایجاد قوانین جدید بر روی فایروال با دستورات iptables از این جدول مخفی استفاده کند. قوانینی که به تازگی توسط این بدافزار نوشته میشوند نسبت به قوانین قبلیِ موجود از اولویت بیشتری برخوردار هستند. این قوانین جدید میتوانند ترافیک را از ماشین قربانی به سمت دستگاهی که در کنترل مهاجمان است ارسال کنند.
اسناد مربوط به بدافزار OutlawCountry مربوط به سال ۲۰۱۵ میلادی است. همچنین این بدافزار برای اجرای حملات مؤثر به دسترسیهای شِل و امتیازات سطح بالا و ریشه بر روی ماشین قربانی نیاز دارد. به دلیل اینکه قوانینی که بدافزار تولید میکند مخفی هستند، تنها مدیر سیستم که نام جدول را میداند، میتواند آن را مشاهده کند. همچنین اگر مدیر بتواند ماژول مخرب در سطح کرنل را حذف کند، این جدول مخفی نیز حذف خواهد شد.
در اسناد مربوط به این بدافزار نام توزیعهای CentOS و RedHat آمده است و RedHat نیز برای کاربرانی که نگران این بدافزار هستند، مشاورهنامهای را منتشر کرده است. این شرکت توصیه کرده کاربران بر روی ماشینهای خود به دنبال فایلی با نام nf_table_6_64.ko باشند و ممکن است جدولی مخفی در iptables نیز با نام dpxvke8h18 وجود داشته باشد. برای بررسی وجود داشتن یا نداشتن ماژول مخرب در سطح کنترل نیز، کاربران میتوانند از دستور زیر استفاده کنند:
lsmod | grep nf_table