Die Angreifer setzten zunächst PowerShell-Skripte ein, um eine Reverse Shell zu einem Command-and-Control-Server (C&C) aufzubauen. Über diesen Zugang spielten sie die Backdoor AppleChris ein. Anschließend nutzten sie WMI sowie native Windows-.NET-Befehle, um Domänencontroller, Webserver, IT-Arbeitsplätze und Systeme auf Führungsebene zu infizieren.

Für dauerhaften Zugriff und die Ausführung von Schadcode richteten die Angreifer im Rahmen der wiederaufgenommenen Aktivität einen neuen Dienst ein. Eine schädliche DLL legten sie im Ordner System32 ab und luden sie per DLL-Hijacking über einen Schattenkopie-Dienst.

Nach der seitlichen Ausbreitung im Netzwerk suchten die Angreifer nach sensiblen Dateien wie offiziellen Sitzungsprotokollen, Bewertungen operativer Fähigkeiten und Details zu gemeinsamen militärischen Aktivitäten. Besonderes Interesse galt laut Palo Alto Networks Unterlagen zu militärischen Organisationsstrukturen und Strategien, einschließlich Systemen für Führung, Kommunikation und Aufklärung (C4I).

Von der Backdoor AppleChris beobachteten die Forscher mehrere Varianten: eine frühere Entwicklungsstufe, die ein Dropbox-Konto und einen Pastebin-Eintrag als Vermittler für die Serveradressen nutzte, sowie eine “Tunneler”-Variante, die allein auf Pastebin setzt, dafür aber erweiterte Netzwerk-Proxy-Funktionen mitbringt. Die Backdoor ermittelt die IP-Adresse ihres C&C-Servers dynamisch und kann unter anderem Laufwerke und Verzeichnisse auflisten, Dateien herunter- und hochladen oder löschen, Prozesse auflisten sowie Shell-Befehle aus der Ferne ausführen.

Neben AppleChris kam MemFun zum Einsatz, eine mehrstufige Schadsoftware-Familie, die die Haupt-Backdoor per reflektivem DLL-Laden ausführt. Zusätzlich verwendeten die Angreifer Getpass, eine eigene Variante von Mimikatz, die auf zehn bestimmte Windows-Authentifizierungspakete abzielt, um Zugangsdaten abzugreifen.

Auf Basis der Erstellungsdaten der Pastebin-Einträge und der Kompilierungszeitstempel der analysierten Schadsoftware geht Palo Alto Networks davon aus, dass die Gruppe seit mindestens 2020 aktiv ist. Den Untersuchungen zufolge hielten die Angreifer über einen längeren Zeitraum die Verbindung zu mehreren kompromittierten Netzwerken aufrecht und nutzten Pastebin und Dropbox zur Verteilung ihrer C&C-Infrastruktur. Es gebe Hinweise darauf, dass der Akteur sein Dropbox-Konto weiterhin mit aktualisierten Infrastrukturdateien versorgt.

Die Zuordnung nach China stützt Palo Alto Networks auf mehrere Indizien: Der Arbeitsrhythmus der Angreifer entspricht der Zeitzone UTC+8, also den üblichen Bürozeiten in China und anderen asiatischen Regionen. Hinzu kommen die Ausrichtung auf Streitkräfte in Südostasien, die Nutzung von Cloud-Netzinfrastruktur mit Sitz in China sowie der Einsatz von vereinfachtem Chinesisch auf der Anmeldeseite eines C&C-Servers.