Các chuyên gia cho rằng, nhóm tin tặc IndigoZebra phải chịu trách nhiệm cho các cuộc tấn công mạng này. Theo ghi nhận của Kaspersky, các cuộc tấn công mạng sử dụng tiếng Trung này đã từng nhắm mục tiêu vào các nước Cộng hòa thuộc Liên Xô cũ.
Các mẫu email được giả mạo được gửi từ Văn phòng Tổng thống với yêu cầu xem xét khẩn cấp các sửa đổi đối với tài liệu liên quan đến cuộc họp báo sắp tới. Những email này được gửi từ hộp thư email bị xâm nhập của những nạn nhân nổi tiếng trong quá khứ, bao gồm một kho lưu trữ .RAR được bảo vệ bằng mật khẩu có tên NSC Press conference.rar. Nếu nạn nhân mở tệp, họ sẽ nhận được tệp thực thi Windows (NSC Press conference.exe), tệp này sẽ âm thầm triển khai phần mềm độc hại và backdoor "xCaon", duy trì xâm nhập bằng cách đặt khóa đăng ký.
Email lừa đảo giả danh Văn phòng Tổng thống Afghanisan
Backdoor có thể được tải xuống và tải lên các tệp, chạy các lệnh thông qua máy chủ điều khiển và kiểm soát (C2) và đánh cắp dữ liệu.
Dropbox đang bị lạm dụng như một dạng máy chủ C2 trong phiên bản mới nhất của backdoor này, được gọi là "BoxCaon".
Các nạn nhân sẽ được gán một thư mục đã được cấu hình sẵn, được đặt tên theo địa chỉ MAC của nạn nhân, chứa các hướng dẫn về phần mềm độc hại và hoạt động như một kho lưu trữ các dữ liệu bị lọc.
Các chuyên gia Check Point cho biết: "Tin tặc đã sử dụng API Dropbox để che giấu các hoạt động độc hại của chúng vì không thấy có các thông tin liên lạc bất thường nào đến các trang web".
IndigoZebra sẽ triển khai công cụ quét NetBIOS đã từng được nhóm tin tặc khác của Trung Quốc (APT10/Stone Panda) áp dụng và có thể thực thi các công cụ tiện ích mạng để tìm kiếm các mục tiêu mới.
Phần mềm độc hại được nhóm tin tặc sử dụng bao gồm Meterpreter, Poison Ivy, xDown và backdoor xCaon.
Các chuyên gia cho rằng nhóm tin tặc IndigoZebra có khả năng phải chịu trách nhiệm cho các cuộc tấn công từ năm 2014 nhắm mục tiêu vào Kyrgyzstan và Uzbekistan.
Các nhà nghiên cứu nhận xét rằng: "Mặc dù ban đầu chúng tôi quan sát thấy IndigoZebra nhắm mục tiêu tấn công vào Uzbekistan và Kyrgyzstan, nhưng giờ đây, đã có nhiều minh chứng cho thấy chiến dịch tấn công của nó đã mở rộng sang các mục tiêu mới trong khu vực, với một bộ công cụ mới".