WikiLeaks разкриха поредният инструмент от Vault 7. Новият инструмент, използван от ЦРУ, носи името Angelfire (Ангелски огън) и е създаден, за да заразява Master Boot Record (MBR) при Windows.
Angelfire съдържа в себе си пет инструмента и е бил използван за компрометиране на машини с Windows XP и Windows 7.
Най-важният от инструментите в Angelfire се казва Solartime и неговата работа е да модифицира буут сектора, за да може да се зареди вторият инструмент Wolfcreek, който се състои от комлект от драйвъри, които предоставят възможност за инсталиране на други приложения.
Третият инструмент, Keystone, позволява на агентите на ЦРУ да инсталират допълнителен малуер на вече заразените системи. Четвъртият, с име BadMFS, представлява файлова система, която пази всички други компоненти криптирани и невидими и се намира на края на активния дял. Този компонент пречи за стринг или PE хедър сканиране.
BadMFS има и алтернатива в лицето на Windows Transitory File System, за който от WikiLeaks обясняват, че той използва временни файлове вместо файлова система и е новият метод са инсталиране на Angelfire.
Windows Transitory File System позволява добавянето и премахването на файлове от Angelfire, създаване на временни файлове за специфични дейности, а самите временни файлове биват добавяни към UserInstallApp – в .exe и .dll вариантите.
Въпреки сложната си структура, WikiLeaks разкриват, че Angelfire може да бъде доста лесно хванат поради някои особености, които са били известни и на самите ЦРУ.
Като слабост например се отчита, че файловата система, която създава BadMFS е под формата на файл, с име zf, който потребителите могат случайно да намерят. Друга слабост е, че инструментът Keystone се маскира като копие на svchost.exe и винаги се намира в C:Windowssystem32.
Един от най-големите недостатъци обаче е, че ако нормалната работа на дори един от компонентите бъде нарушена, то се показват визуални нотификации, които потребителят няма как да не забележи, ако се намира пред машината.