Theo các nhà nghiên cứu, cuộc tấn công được trang bị một “kho vũ khí” tối tân gồm nhiều dropper, backdoor và các công cụ khác bao gồm backdoor Chinoxy, PcShare RAT và FunnyDream…
Một điều đáng lưu ý là chiến dịch FunnyDream trước đây từng có liên quan đến các tổ chức chính phủ cấp cao tại Malaysia, Đài Loan và Philippines, cùng phần lớn nạn nhân ở Việt Nam.
Không chỉ sử dụng 200 thiết bị tham gia chiến dịch tấn công, hacker có thể đã xâm nhập vào trình điều khiển tên miền của nạn nhân, cho phép chúng di chuyển trong toàn hệ thống và có khả năng giành quyền kiểm soát các hệ thống khác. Nghiên cứu gần như không chỉ ra được manh mối về cách thức lây nhiễm, mặc dù có giả thuyết hacker đã sử dụng kỹ thuật lừa đảo để lừa người dùng mở các tệp tin độc hại.
Sau bước đầu xâm nhập vào hệ thống mục tiêu, hacker bắt đầu triển khai hàng loạt các công cụ bao gồm backdoor Chinoxy và trojan PcShare của Trung Quốc.
Ngoài các tiện ích dòng lệnh như tasklist.exe, ipconfig.exe, systeminfo.exe và netstat để thu thập thông tin hệ thống, một số tiện ích khác bao gồm ccf32, FilePak, FilePakMonitor, ScreenCap, Keyrecord và TcpBridge được cài đặt để thu thập tệp, chụp ảnh màn hình, ghi nhật ký tổ hợp phím và chuyển thông tin thu thập được đến máy chủ do hacker kiểm soát.
Đáng lưu ý, Backdoor FunnyDream được sử dụng để thu thập dữ liệu người dùng, xóa dấu vết triển khai phần mềm độc hại, cản trở việc phát hiện của các giải pháp bảo mật. Thông tin thu thập sẽ được gửi đến các máy chủ C&C tại Hồng Kông, Trung Quốc, Hàn Quốc và Việt Nam.