Phần mềm độc hại được phát hiện có tên gọi "Sunspot", nó bổ sung vào danh sách các phần mềm độc hại được tiết lộ trước đây như Sunburst và Teardrop.
Sudhakar Ramakrishna, Giám đốc điều hành mới của SolarWinds giải thích: "Đoạn mã rất phức tạp và mới lạ này được thiết kế để đưa mã độc Sunburst vào Nền tảng SolarWinds Orion mà không làm đội ngũ phát triển và xây dựng phần mềm của công ty phát hiện ra".
Trong khi các bằng chứng sơ bộ cho thấy rằng những kẻ đứng đằng sau chiến dịch gián điệp đã cố gắng xâm nhập vào cơ sở hạ tầng ký mã và xây dựng phần mềm của SolarWinds Orion Platform vào tháng 10/2019 để cung cấp cửa hậu Sunburst. Cùng với đó, những phát hiện mới nhất cho thấy mốc thời gian thiết lập vi phạm đầu tiên của mạng SolarWinds vào ngày 4/9/2019. Tất cả đều được thực hiện với mục đích triển khai Sunspot.
Các nhà nghiên cứu của Crowdstrike cho biết: “Sunspot giám sát các tiến trình thực thi của những người tham gia biên soạn sản phẩm Orion và thay thế một trong các tệp nguồn để bao gồm mã cửa hậu Sunburst”. Crowdstrike đang theo dõi vụ xâm nhập này dưới biệt danh "StellarParticle".
Sau khi được cài đặt, phần mềm độc hại ("taskhostsvc.exe") tự cấp đặc quyền gỡ lỗi và thực hiện chiếm quyền điều khiển quy trình xây dựng Orion bằng cách giám sát các quy trình phần mềm đang chạy trên máy chủ và sau đó thay thế tệp mã nguồn trong thư mục bản dựng bằng tệp độc hại, để inject Sunburst trong khi Orion đang được xây dựng.
Các nhà nghiên cứu của Kaspersky cũng phát hiện mối liên hệ tiềm năng giữa Sunburst và Kazuar - một họ phần mềm độc hại có liên quan đến tổ chức gián điệp mạng Turla được cho là hoạt động dưới sự hậu thuẫn của Nga.
Tuy nhiên, Kaspersky đã hạn chế rút ra suy luận từ các điểm tương đồng, thay vào đó họ cho rằng các phần trùng lặp có thể đã được cố tình thêm vào để gây hiểu lầm. Trong khi những điểm tương đồng khác xa so với smoking-gun liên quan đến vụ tấn công vào Nga, các quan chức chính phủ Mỹ tuần trước đã chính thức xác nhận chiến dịch Solorigate đối với những mục tiêu có thể có nguồn gốc từ Nga.