به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، شرکت ترند میکرو (Trend Micro) این عامل تهدید را تحت نام تیدرون (TIDRONE) ردیابی میکند و فعالیتهای آن را با توجه به تمرکز بر زنجیرههای صنعت مرتبط با صنایع نظامی، به عنوان فعالیتهای جاسوسی ارزیابی میکند.
روش دقیق دسترسی اولیه که برای نفوذ به اهداف استفاده شده است، همچنان ناشناخته است.
تحلیلهای ترند میکرو نشان میدهد که بدافزارهای سفارشی مانند CXCLNT و CLNTEND با استفاده از ابزارهای کنترل از راه دور مانند اولترا وی ان سی (UltraVNC) مورد استفاده قرار گرفتهاند.
یک ویژگی مشترک جالب در میان قربانیان مختلف، وجود همان نرمافزار برنامهریزی منابع سازمانی (ERP) است که احتمال حمله به زنجیره تأمین را مطرح میکند.
زنجیرههای حمله از سه مرحله مختلف عبور میکنند که برای تسهیل افزایش سطح دسترسی با دور زدن کنترل دسترسی کاربران (UAC)، استخراج اعتبارنامهها و پنهانسازی از طریق غیرفعال کردن محصولات آنتیویروس نصبشده روی سیستمها طراحی شدهاند.
هر دو بدافزار از طریق بارگذاری یک DLL جعلی از طریق نرمافزار مایکروسافت وورد (Microsoft Word) فعال میشوند و به عاملان تهدید امکان میدهند طیف گستردهای از اطلاعات حساس را به دست آورند.
بدافزار CXCLNT دارای قابلیتهای پایهای برای آپلود و دانلود فایل است، همچنین قابلیت پاکسازی ردپاها، جمعآوری اطلاعات قربانی مانند فهرست فایلها و نام کامپیوتر، و دانلود فایلهای اجرایی (PE) و DLL برای اجرای مراحل بعدی را دارد.
بدافزار CLNTEND نیز که اولین بار در آوریل 2024 شناسایی شد، یک ابزار دسترسی از راه دور (RAT) است که از پروتکلهای شبکه متنوعی برای ارتباط، از جمله TCP، HTTP، HTTPS، TLS، و SMB (پورت 445) پشتیبانی میکند.
پژوهشگران امنیتی، پیر لی و ویکی سو بیان کردند:
ثبات در زمانهای کامپایل فایلها و زمان عملیات این عامل تهدید با دیگر فعالیتهای مرتبط با جاسوسی چینی از این ارزیابی حمایت میکند که احتمالاً این کمپین توسط یک گروه چینیزبان که هنوز شناسایی نشده، انجام میشود.
