Ранее неизвестный злоумышленник, говорящий по-китайски, был обнаружен аналитиками угроз SentinelLabs, которые смогли связать его с вредоносной активностью еще в 2013 году.
Хакерская группа под названием Aoqin Dragon занимается кибершпионажем, атакуя правительственные, образовательные и телекоммуникационные организации, базирующиеся в Сингапуре, Гонконге, Вьетнаме, Камбодже и Австралии.
Методы злоумышленников развивались на протяжении многих лет, но некоторые тактики и концепции остаются неизменными.
По данным SentinelLabs, с момента первого обнаружения Aoqin Dragon использовал три различных цепочки заражения. Самый ранний из них, использовавшийся в период с 2012 по 2015 год, включает документы Microsoft Office, использующие известные уязвимости, такие как CVE-2012-0158 и CVE-2010-3333.
Эта тактика была замечена FireEye в 2014 году в ходе фишинговой кампании, координируемой поддерживаемой Китаем группой Naikon APT и нацеленной на правительственное учреждение Азиатско-Тихоокеанского региона и аналитический центр США.
Второй способ заражения — маскировка вредоносных исполняемых файлов фальшивыми антивирусными значками, обманом заставляющий пользователей запускать их и активирующий дроппер вредоносных программ на своих устройствах.
С 2018 года по настоящее время Aoqin Dragon использует съемный ярлык на диске, который при нажатии выполняет перехват DLL и загружает зашифрованную полезную нагрузку бэкдора.
Вредоносная программа работает под названием «Приложение Evernote Tray» и запускается при запуске системы. Если загрузчик обнаруживает съемные устройства, он также копирует полезную нагрузку для заражения других устройств в целевой сети.