Chiến dịch tấn công liên quan tới một nhóm tin tặc TA428 được cho là có mối liên hệ với Trung Quốc. Nhóm này được biết đến với hành vi đánh cắp thông tin và hoạt động gián điệp cũng như tấn công các tổ chức ở châu Á và Đông Âu.
TA428 sử dụng các email lừa đảo có chứa thông tin bí mật về các tổ chức được nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office để triển khai phần mềm độc hại PortDoor.
PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc khởi xướng vào tháng 4/2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.
Sau khi xâm nhập thành công mục tiêu, nhiều backdoor có liên quan tới TA428 được triển khai, bao gồm nccTrojan, Logtu, Cotx, DNSep và CotSam. Backdoor cho phép tin tặc thu thập, đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.
Để triển khai phần mềm độc hại CotSam, tin tặc sử dụng tệp Microsoft Word độc hại với các mã độc tương ứng trên hai phiên bản Microsoft Word 2007 cho hệ thống 32-bit và Microsoft Word 2010 cho hệ thống 64-bit.
Sau khi mở rộng tấn công trong mạng bằng cách rò quét, tìm kiếm, khai thác lỗ hổng và khởi chạy công cụ bẻ khóa mật khẩu Ladon, tin tặc sẽ có đặc quyền miền và thu thập nhiều thông tin bí mật.
Các thông tin này được gửi cho các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu. Các bằng chứng đều cho thấy, tất cả các thông tin bị đánh cắp chuyển đến máy chủ có địa chỉ IP của Trung Quốc.
Thông qua việc phân tích chiến thuật, kỹ thuật và quy trình, phương thức khai thác, các công cụ và máy chủ C2 được sử dụng, và thời gian hoạt động của phần mềm độc hại, các nhà nghiên cứu kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.