Còn được gọi là RedDelta và TA416, tác nhân đe dọa trước đây đã liên quan đến việc nhắm mục tiêu vào các thực thể có liên quan đến quan hệ ngoại giao Vatican - Đảng Cộng sản Trung Quốc, cùng với một số thực thể ở Myanmar.
McAfee cho biết, các cuộc tấn công bằng phần mềm độc hại mới sử dụng cùng các chiến thuật, kỹ thuật và quy trình vốn trước đây được liên kết với nhóm gián điệp Mustang Panda. Quá trình lây nhiễm ban đầu chưa được xác định, nhưng các nhà nghiên cứu tin rằng các nạn nhân đã bị dụ đến một trang web giả mạo được tạo ra để bắt chước trang web hợp pháp của gã khổng lồ công nghệ Trung Quốc Huawei.
Giai đoạn đầu của cuộc tấn công sử dụng ứng dụng Flash giả mạo và trang lừa đảo bắt chước trang web gốc, trong khi giai đoạn thứ hai là một .Net payload được thực thi để tiếp tục xâm phạm máy thông qua việc tải xuống và quản lý các backdoor. Payload báo hiệu Cobalt Strike được phân phối ở giai đoạn thứ ba.
Được gọi chung là Chiến dịch Diànxùn, các cuộc tấn công mới nhằm vào các công ty viễn thông có trụ sở tại Đông Nam Á, Châu Âu và Hoa Kỳ. McAfee cho biết, nhóm tấn công thể hiện sự quan tâm mạnh mẽ với các công ty viễn thông của Đức, Việt Nam và Ấn Độ.
Phía McAfee cho biết “Kết hợp với việc sử dụng trang web Huawei giả mạo, với mức độ tin cậy cao chúng tôi tin tưởng rằng chiến dịch này đang nhắm mục tiêu vào lĩnh vực viễn thông. Hơn thế nữa với mức độ khá tin cậy chúng tôi nghĩ rằng động lực đằng sau chiến dịch cụ thể này liên quan đến việc cấm công nghệ Trung Quốc trong việc triển khai 5G toàn cầu”.
Các nhà nghiên cứu lưu ý, chiến dịch này được cho là nhằm vào việc đánh cắp thông tin nhạy cảm hoặc bí mật liên quan đến công nghệ 5G. McAfee cũng lưu ý rằng họ không có bằng chứng cho thấy Huawei cố ý tham gia vào các cuộc tấn công này.