عوامل تهدید با استفاده از ابزارهای مرتبط با گروههای APT چینی، چندین سازمان برجسته در جنوب شرقی آسیا از جمله وزارتخانههای دولتی را به منظور جمعآوری اطلاعات هدف قرار دادهاند.
بر اساس گزارش تیم شکار تهدید Symantec، در حالی که انتساب به گروه تهدید خاصی را نمیتوان تعیین کرد، چندین ابزار مورد استفاده در کمپین دارای پیوندهایی به چندین عامل مستقر در چین هستند. نکته قابل توجه استفاده از ابزار پراکسی به نام Rakshasa و فایل کاربردی قانونی است که برای بارگذاری جانبی DLL استفاده میشود که هر دو قبلا توسط APT چینی Earth Baku (معروف به APT41، Brass Typhoon) استفاده میشد.
حمله شامل استفاده از ابزار دسترسی از راه دور است که از Impacket برای اجرای دستورات از طریق WMI (Windows Management Instrumentation) استفاده میکند. سپس مهاجمان keyloggerها، جمعآورندههای (سارقان) رمز عبور و ابزارهای پراکسی معکوس (Rakshasa، Stowaway، ReverseSSH) را برای حفظ اتصالات به زیرساختهای کنترل شده توسط مهاجم نصب میکنند. همچنین در طول حملات، تروجان دسترسی از راه دور PlugX (معروف به Korplug) به کار گرفته شده که توسط چندین گروه هکر چینی مورد استفاده قرار گرفته است.
https://www.security.com/threat-intelligence/china-southeast-asia-espionage
