Broadcom Software 旗下的賽門(mén)鐵克 Threat Hunter 團(tuán)隊(duì)在的一份報(bào)告中表示：“該組織開(kāi)發(fā)了三種較舊的遠(yuǎn)程訪問(wèn)木馬 (RAT) 的定制版本，包括Trochilus RAT、Gh0st RAT和9002 RAT”。

這家網(wǎng)絡(luò)安全公司表示，至少有一個(gè)入侵指標(biāo) (IOC) 被用于針對(duì)在多個(gè)亞洲國(guó)家運(yùn)營(yíng)的 IT 服務(wù)提供商的攻擊。

值得指出的是，這三個(gè)后門(mén)主要與中國(guó)威脅行為者有關(guān)，如 Stone Panda (APT10)、Aurora Panda (APT17)、Emissary Panda (APT27) 和 Judgment Panda (APT31) 等。被其他黑客組織使用。

賽門(mén)鐵克表示，Webworm 威脅行為者與今年 5 月初 Positive Technologies 記錄的另一個(gè)新的對(duì)抗性團(tuán)體Space Pirates表現(xiàn)出戰(zhàn)術(shù)重疊，該團(tuán)體被發(fā)現(xiàn)使用新型惡意軟件攻擊俄羅斯航空航天業(yè)的實(shí)體。

就太空海盜而言，由于共享使用后開(kāi)發(fā)模塊，它與先前確定的中國(guó)間諜活動(dòng)（稱(chēng)為 Wicked Panda (APT41)、Mustang Panda、Dagger Panda ( RedFoxtrot )、Colorful Panda (TA428) 和 Night Dragon）有交叉RAT，例如PlugX和ShadowPad。

其惡意軟件庫(kù)中的其他工具包括 Zupdax、Deed RAT、稱(chēng)為 BH_A006 的 Gh0st RAT 的修改版本和 MyKLoadClient。

Webworm 自 2017 年以來(lái)一直活躍，在俄羅斯、格魯吉亞、蒙古和其他幾個(gè)亞洲國(guó)家的 IT 服務(wù)、航空航天和電力行業(yè)有引人注目的政府機(jī)構(gòu)和企業(yè)的記錄。

攻擊鏈涉及使用 dropper 惡意軟件，該惡意軟件包含一個(gè)加載程序，旨在啟動(dòng) Trochilus、Gh0st 和 9002 遠(yuǎn)程訪問(wèn)木馬的修改版本。這家網(wǎng)絡(luò)安全公司表示，大多數(shù)更改旨在逃避檢測(cè)，并指出初始訪問(wèn)是通過(guò)帶有誘餌文件的社會(huì)工程實(shí)現(xiàn)的。

研究人員說(shuō)：“Webworm 使用舊版本的定制版本，在某些情況下是開(kāi)源的，惡意軟件以及代碼與被稱(chēng)為 Space Pirates 的組織重疊，這表明它們可能是同一個(gè)威脅組織。然而，這些類(lèi)型工具的共同使用以及該地區(qū)團(tuán)體之間的工具交換可能會(huì)掩蓋不同威脅團(tuán)體的蹤跡，這可能是采用這種方法的原因之一，另一個(gè)原因是成本，因?yàn)殚_(kāi)發(fā)復(fù)雜的惡意軟件在金錢(qián)和時(shí)間方面的成本都很高。”