(RAT)包括TrochilusRAT、Gh0stRAT和9002RAT”。该网络安全公司表示,至少有一种妥协指标(IOC)被用于针对在多个亚洲国家运营的IT服务提供商的攻击。值得指出的是,这三种后门主要与中国威胁行为者有关,例如石头熊猫(APT10)、极光熊猫(APT17)、使者熊猫(APT27)和审判熊猫(APT31)等。被其他黑客组织使用。赛门铁克表示Webworm威胁今年5月初,PositiveTechnologies记录了actor与另一个新的敌对组织SpacePirates的战术重叠,该组织被发现使用新型恶意软件攻击俄罗斯航空航天业的实体。就SpacePirates而言,它有由于共享后开发模块,与先前确定的中国间谍活动(称为邪恶熊猫(APT41)、野马熊猫、匕首熊猫(RedFoxtrot)、彩色熊猫(TA428)和夜龙)交叉RAT,例如PlugX和ShadowPad。其恶意软件库中的其他工具包括Zupdax、DeedRAT、称为BH_A006的Gh0stRAT的修改版本和MyKLoadClient。Webworm自2017年以来一直活跃,并在俄罗斯、格鲁吉亚、蒙古和其他几个亚洲国家的IT服务、航空航天和电力行业的著名政府机构和企业中拥有良好的记录。攻击链涉及使用植入恶意软件,其中包含一个加载程序,旨在启动Trochilus、Gh0st和9002远程访问木马的修改版本。这家网络安全公司表示,大部分更改旨在逃避检测,并指出初始访问是通过带有诱饵文件的社会工程实现的。“Webworm使用旧版本的定制版本,在某些情况下是开源恶意软件和代码,这些恶意软件和代码与一个名为SpacePirates的组织重叠,这表明它们可能是同一个威胁组织,”研究人员说。然而,这些类型的工具的共同使用以及区域中不同团体之间工具的交换可能会掩盖不同威胁团体的踪迹,这可能是采用这种方法的原因之一,另一个原因是成本,因为开发复杂的恶意软件需要金钱和时间成本很高。”
