Unit 42 beschreibt CL-STA-1062 als Akteur mit anhaltendem Fokus auf Ziele in der Region. Die Gruppe soll seit mindestens Mitte 2025 verstärkt kritische Infrastruktur ins Visier nehmen. Laut den Forschern scannten die Angreifer mehrere Einrichtungen in Südostasien nach Schwachstellen und verschafften sich anschließend über ASPX-Web-Shells einen ersten Zugriff. Diese Web-Shells dienten der anfänglichen Aufklärung und ermöglichten aus infizierten Netzen ausgehende Verbindungen zu von den Angreifern kontrollierter Infrastruktur, über die weitere Nutzlasten nachgeladen wurden.

Zu diesen nachgeladenen Komponenten zählen SoftEther-VPN-Bestandteile und RAR-Archive mit dem Werkzeugkasten der Gruppe. Darin fanden sich auch frei verfügbare Hilfsprogramme wie Yuze, ein SOCKS5-Proxy, und VNT, ein VPN. Um die Werkzeuge zu tarnen, wurden sie häufig als VMware-Dateien oder als XDR-Agent ausgegeben, etwa unter Namen wie „XDRAgent.exe“, „vmtools.exe“ und „vmwared.exe“.

In einer im September 2025 entdeckten Kampagne soll die Gruppe eine Regierungsstelle in Südostasien infiltriert und eine Web-Shell eingesetzt haben, um Daten von einem MS-SQL-Server abzuziehen. Während desselben Angriffs beobachtete Unit 42 zudem Aufklärungsaktivitäten im Netzwerk einer weiteren Regierungsstelle im selben Land. Nach Einschätzung der Forscher deutet das darauf hin, dass die Angreifer Möglichkeiten zur lateralen Bewegung identifizieren und ihren Zugriff ausweiten wollten. In einem Fall sah Unit 42, wie die Angreifer ein komplettes Verzeichnis mit Quellcode eines Webservers aus der betroffenen Regierungsstelle für den Abzug vorbereiteten und exfiltrierten.

Zwischen Oktober und Dezember 2025 erkannte Unit 42 nach eigenen Angaben Einbrüche bei mindestens zehn verschiedenen Organisationen in Südostasien. Die weitere Analyse der eingesetzten Infrastruktur führte die Forscher zu einer bislang nicht dokumentierten .NET-Hintertür mit dem Namen TinyRCT, die als „PerfWatson2.exe“ auftritt. Die Schadsoftware ist als leichtgewichtiger Remote-Access-Trojaner ausgelegt und unterstützt Systemaufklärung, Befehlsausführung, Datei-Uploads, Bildschirmaufnahmen, Fernsteuerung und das Entfernen eigener Spuren. Außerdem versucht sie, eine Ausführung in Sandbox-Umgebungen zu vermeiden.

Für die Kommunikation baut TinyRCT über HTTP einen dauerhaften Kanal zu dem Server „45.32.113[.]172“ auf. Die ausgetauschten Daten werden dabei laut Unit 42 mit AES-128 im CBC-Modus verschlüsselt. Die Schadsoftware arbeitet nach einem Beaconing-Modell mit einem standardmäßigen Schlafintervall von zehn Sekunden zwischen den Anfragen. Anweisungen vom Kommando- und Kontrollserver holt sie per GET-Anfragen ab, abgeflossene Daten sendet sie per POST-Anfragen zurück.

Zur Auslieferung von TinyRCT beobachtete Unit 42 ein bösartiges Archiv mit dem Namen „chrome_setup.zip“. Es enthält die legitime Datei „chrome_setup.exe“, die Konfigurationsdatei „chrome_setup.exe.config“ und die manipulierte DLL „MyAppDomainManager.dll“. Diese DLL löst eine AppDomainManager-Injektion aus, um den schädlichen Code zu laden. Anschließend fungiert sie als Downloader und kontaktiert „139.180.134[.]221“, um „PerfWatson2.exe“ nachzuladen.

Unit 42 bewertet die in diesem Aktivitätscluster beobachtete Werkzeugkombination als pragmatischen Ansatz bei der Auswahl von Werkzeugen und Angriffsfähigkeiten. Nach Einschätzung der Forscher nutzt CL-STA-1062 weiterhin gängige Open-Source-Werkzeuge wie SoftEther VPN und VNT, um laterale Bewegung zu erleichtern. Die Entdeckung von TinyRCT in der Infrastruktur der Angreifer unterstreiche zugleich deren Fähigkeit, Werkzeuge für spezifische Funktionen anzupassen.