Некоторые подробности об активности группировки Platinum раскрыты специалистами из Windows Defender Advanced Threat Hunting.
Хакеры из Platinum занимаются кибершпионажем по крайней мере с 2009 года. Главные цели группировки: правительственные учреждения, разведывательные службы, оборонные предприятия и интернет-провайдеры из Азиатско-Тихоокеанского региона, в первую очередь из Индонезии, КНР и Малайзии. Хакеры похищают данные, которые в дальнейшем могут быть использованы для извлечения определенных экономических преимуществ.
Участники Platinum зачастую организуют фишинговые атаки, пользуются эксплоитами для уязвимостей, которые ранее были неизвестны экспертам, и вредоносным программным обеспечением собственной разработки, способным к самоуничтожению.
Примечательно, что хакеры использовали механизм hotpatching, который был впервые представлен в Windows Server 2003 и был ликвидирован в восьмой версии ОС. Этот функционал дает возможность обновлять систему без предварительной перезагрузки.
Эксперты сообщали о теоретической возможности использования механизма для преступных целей еще в 2013 году. Как утверждают специалисты Microsoft, именно хакеры из Platinum впервые использовали на практике атаки с применением hotpatching. В отчете указано, что злоумышленниками применялась техника для скрытого добавления вредоносного кода в процессы. С помощью данного метода хакеры избегали обнаружения практически любыми антивирусами. В случае, когда злоумышленники не могли добавить код с помощью hotpatching, они пользовались более распространенными техниками.
По словам исследователей, хакеры из Platinum продолжают действовать, но каждый год они проводят лишь несколько киберкампаний и с тщательностью заметают следы присутствия в системе путем удаления вредоносных компонентов. Вероятно, группа пользуется поддержкой правительства одной из стран. Об этом свидетельствует хорошая организация, значительные финансовые возможности и интерес лишь в информации, которая является полезной для государственных структур.