Broadcom Software 旗下的賽門鐵克 Threat Hunter 團隊在的一份報告中表示：“該組織開發(fā)了三種較舊的遠程訪問木馬 (RAT) 的定制版本，包括Trochilus RAT、Gh0st RAT和9002 RAT”。

這家網(wǎng)絡(luò)安全公司表示，至少有一個入侵指標(biāo) (IOC) 被用于針對在多個亞洲國家運營的 IT 服務(wù)提供商的攻擊。

值得指出的是，這三個后門主要與中國威脅行為者有關(guān)，如 Stone Panda (APT10)、Aurora Panda (APT17)、Emissary Panda (APT27) 和 Judgment Panda (APT31) 等。被其他黑客組織使用。

賽門鐵克表示，Webworm 威脅行為者與今年 5 月初 Positive Technologies 記錄的另一個新的對抗性團體Space Pirates表現(xiàn)出戰(zhàn)術(shù)重疊，該團體被發(fā)現(xiàn)使用新型惡意軟件攻擊俄羅斯航空航天業(yè)的實體。

就太空海盜而言，由于共享使用后開發(fā)模塊，它與先前確定的中國間諜活動（稱為 Wicked Panda (APT41)、Mustang Panda、Dagger Panda ( RedFoxtrot )、Colorful Panda (TA428) 和 Night Dragon）有交叉RAT，例如PlugX和ShadowPad。

其惡意軟件庫中的其他工具包括 Zupdax、Deed RAT、稱為 BH_A006 的 Gh0st RAT 的修改版本和 MyKLoadClient。

Webworm 自 2017 年以來一直活躍，在俄羅斯、格魯吉亞、蒙古和其他幾個亞洲國家的 IT 服務(wù)、航空航天和電力行業(yè)有引人注目的政府機構(gòu)和企業(yè)的記錄。

攻擊鏈涉及使用 dropper 惡意軟件，該惡意軟件包含一個加載程序，旨在啟動 Trochilus、Gh0st 和 9002 遠程訪問木馬的修改版本。這家網(wǎng)絡(luò)安全公司表示，大多數(shù)更改旨在逃避檢測，并指出初始訪問是通過帶有誘餌文件的社會工程實現(xiàn)的。

研究人員說：“Webworm 使用舊版本的定制版本，在某些情況下是開源的，惡意軟件以及代碼與被稱為 Space Pirates 的組織重疊，這表明它們可能是同一個威脅組織。然而，這些類型工具的共同使用以及該地區(qū)團體之間的工具交換可能會掩蓋不同威脅團體的蹤跡，這可能是采用這種方法的原因之一，另一個原因是成本，因為開發(fā)復(fù)雜的惡意軟件在金錢和時間方面的成本都很高?！?/p>