Специалисты группы Kaspersky ICS CERT опубликовали отчет о выявленных в начале 2022 года целевых атаках на компьютерные сети заводов, конструкторских бюро и исследовательских институтов, государственных агентств, министерств и ведомств нескольких стран Восточной Европы (Белоруссия, Россия, Украина), а также Афганистана. В атаках использовалось сразу несколько программ, причем из шести обнаруженных программ-бэкдоров пять уже использовались ранее в атаках, которые другие исследователи приписывают китайской хакерской группе TA428. В прошлом году эта группа, как предполагается, атаковала оборонные предприятия России и Монголии. Хотя китайские группы, особенно те, которые, по мнению экспертов, связаны с государственными службами Китая, часто используют одинаковые инструменты, на TA428 указывают также совпадение методов и даже используемых серверов управления, а также некоторые косвенные признаки.
Проникновение в сеть осуществляется при помощи фишинговых писем, в том числе использующих информацию, специфическую для атакуемой организации и не доступную в публичных источниках, говорится в отчете. К письмам прикладываются документы в формате Microsoft Word с кодом, эксплуатирующим уязвимость CVE-2017-11882.