Den Erstzugang verschaffen sich die Angreifer laut Bericht über die Ausnutzung von Web-Servern und das Einschleusen verschiedener Web-Shells, darunter die GodZilla-Web-Shell und eine Variante von AntSword. Über diese Shells bewegen sie sich anschließend seitlich zu weiteren Hosts und zu SQL-Servern. Nach der Kompromittierung führen sie Aufklärung und Rechteausweitung mit einer Reihe von Werkzeugen durch.
Für den Diebstahl von Zugangsdaten kommen laut Unit 42 Werkzeuge wie Mimikatz zum Einsatz, das Passwörter aus dem Arbeitsspeicher ausliest, sowie LsaRecorder, das ebenfalls Passwörter erfasst. Zusätzlich nutzt die Gruppe das frei verfügbare, plattformübergreifende Forensik-Werkzeug DumpIt in Kombination mit dem bekannten Volatility Framework, um Passwort-Hashes aus dem Speicher zu extrahieren. Zum Arsenal gehört außerdem ein selbst entwickeltes, in Go geschriebenes Werkzeug zum Scannen von Netzwerken namens ScanPortPlus, für das es sowohl eine Linux- als auch eine Windows-Version gibt.
Die Gruppe arbeitet flexibel über beide Betriebssysteme hinweg und verwendet jeweils angepasste Versionen ihrer Werkzeuge für Windows und Linux. Um dauerhaften Zugriff zu halten und einer Entdeckung zu entgehen, setzt sie stark auf Tarntechniken, darunter DLL-Side-Loading über legitime Python-Programme. Dadurch lassen sich schädliche Komponenten unter vertrauenswürdigen Prozessen ausführen. Für den Befehls- und Kontrollkanal (Command-and-Control) und zur Umgehung von Netzwerkkontrollen setzt der Akteur modifizierte Varianten des Fast Reverse Proxy (FRP) ein und installiert gelegentlich die Linux-Hintertür Xnote.
Eine eindeutige Identifizierung des Akteurs nimmt Unit 42 nicht vor. Fakterman betont, der Fokus auf Diebstahl von Zugangsdaten und Exfiltration sensibler Daten aus kritischer Infrastruktur und Behörden deute zwar stark auf ein Spionagemotiv hin, eine kriminelle Absicht lasse sich aber noch nicht vollständig ausschließen. Einige Vorgehensweisen und Tarnaktivitäten erinnern laut Bericht an den chinesischen Akteur Salt Typhoon, der mindestens neun US-Telekommunikationsunternehmen über lange Zeit unbemerkt ins Visier nahm. Erst kürzlich stellten zudem Forscher von Check Point einen neu dokumentierten Ableger von APT41 mit dem Namen “Silver Dragon” vor, der ebenfalls in einer langen Kampagne Asien angriff.
Zur Abwehr empfiehlt Unit 42, auf die für jede Gruppe typischen “Verhaltensanomalien” zu achten; der Bericht enthält dazu eine umfangreiche Liste von Kompromittierungsindikatoren. Im Fall von CL-UNK-1068 sind wichtige Warnzeichen unter anderem der Missbrauch legitimer Python-Binärdateien für Side-Loading, der Einsatz nicht autorisierter Tunneling-Werkzeuge wie FRP und die Ausführung selbst entwickelter Batch-Skripte zur Aufklärung. Sicherheitsteams sollten laut Fakterman zudem nach Spuren von Werkzeugen zum Auslesen von Zugangsdaten wie Mimikatz suchen, auffällige RAR-Komprimierung und Base64-Kodierung prüfen, ins Internet gerichtete Web-Server härten und auf das Einschleusen von Web-Shells achten.
