طبق تحقیقات کسپرسکی، دربپشتی EAGERBEE (معروف به Thumtais) در ISPها و نهادهای دولتی خاورمیانه مستقر شده است. مؤلفههای جدید مورد استفاده در این حملات نیز شناسایی شدند، از جمله یک انژکتور سرویس جدید که برای تزریق دربپشتی به یک سرویس در حال اجرا طراحی شده است.
افزون بر این، مؤلفههایی (پلاگین) که قبلاً مستند نشده بودند مشاهده شده است که پس از نصب دربپشتی مستقر شده بودند و مجموعهای از فعالیتهای مخرب مانند استقرار پیلوهای اضافی، کاوش سیستمهای فایل، اجرای کامند شِلها و … را فعال میکند. پلاگینهای کلیدی را میتوان از نظر عملکرد در گروههای Plugin Orchestrator، File System Manipulation، Remote Access Manager، Process Exploration، Network Connection Listing و Service Management دستهبندی کرد.
نفوذ به سازمانهای شرق آسیا از طریق آسیبپذیری ProxyLogon (CVE-2021-26855 با امتیاز 9.1) صورت گرفته است که همچنان روش سوء استفاده محبوب بین نفوذگران برای دسترسی غیرمجاز به سرورهای Exchange است. به دلیل ایجاد مداوم سرویسها در همان روز از طریق شِل یکسان برای اجرای دربپشتی EAGERBEE و ماژول هسته CoughingDown و همپوشانی دامنه C2، این دربپشتی مربوط به گروه تهدید CoughingDown است.
https://securelist.com/eagerbee-backdoor/115175/
