Bei der Ausnutzung der Lücke nutzten die Angreifer den vertrauenswürdigen Update-Kanal von TrueConf, um manipulierte Aktualisierungen zu verteilen. Die meisten Infektionen begannen Check Point zufolge vermutlich über einen an die Opfer gesendeten Link. Dieser startete den TrueConf-Client und zeigte eine Update-Aufforderung an, die eine angeblich neuere Programmversion vortäuschte.

„Vor der Interaktion des Opfers hatte der Angreifer das Update-Paket auf dem lokalen TrueConf-Server bereits durch eine waffenfähige Version ersetzt, sodass der Client über den normalen Update-Vorgang eine schädliche Datei abrief“, erklärte Check Point. Der kompromittierte Server sei von der staatlichen IT-Abteilung betrieben worden und habe als Videokonferenzplattform für Dutzende Regierungsstellen im ganzen Land gedient – alle erhielten dasselbe schädliche Update.

TrueConf ist nach Angaben von Check Point in Organisationen in Asien, Europa und Amerika verbreitet und dient rund 100.000 Organisationen weltweit. Eingesetzt wird die Software vor allem in Behörden, beim Militär und in kritischen Infrastrukturen – laut Check Point, um „absolute Datenvertraulichkeit und Kommunikationsautonomie in abgesicherten oder abgelegenen Umgebungen sicherzustellen“.

Der Vorteil der Lösung liegt nach Darstellung des Herstellers darin, dass sie auch bei schlechter oder fehlender Internetverbindung sowie bei Naturkatastrophen einsatzfähig bleibt. Wird der Server auf interner Hardware betrieben, bleibt der gesamte Audio-, Video- und Chat-Verkehr strikt vor Ort; für vollständig abgeschottete Systeme steht eine Offline-Aktivierung bereit.

Check Point schreibt die Kampagne chinesischen Akteuren zu – begründet mit den eingesetzten Taktiken sowie der Nutzung von Hosting-Werkzeugen von Alibaba Cloud und Tencent. Zudem beobachteten die Forscher, dass dasselbe Opfer auch mit der Schadsoftware ShadowPad angegriffen wurde, die als typisches Kennzeichen chinesischer Akteure gilt.