Các nhà nghiên cứu quy kết cuộc tấn công này được thực hiện bởi nhóm tin tặc Blackwood, nhóm này đã hoạt động ít nhất kể từ năm 2018. Tin tặc đã sử dụng các cuộc tấn công AitM (Adversary in the Middle) để triển khai mã độc NSPX30 thông qua các bản cập nhật phần mềm phổ biến tại Trung Quốc như Sogou Pinyin, Tencent QQ và WPS Office.
Hình 1. Chuỗi lây nhiễm mã độc NSPX30
Mã độc NSPX30 bao gồm backdoor, dropper, trình cài đặt, trình tải và bộ điều phối, đồng thời có thể ẩn vị trí máy chủ điều khiển và ra lệnh (C2) thông qua việc chặn lưu lượng truy cập nhằm lẩn tránh phát hiện. NSPX30 được các tin tặc sử dụng để tấn công tới các mục tiêu cá nhân, tổ chức tại Trung Quốc và Nhật Bản, trong đó có một doanh nghiệp sản xuất và kinh doanh ở Trung Quốc cũng như một công ty sản xuất của Nhật Bản.
Hình 2. Phân bổ vị trí của các nạn nhân
ESET cho biết, mã độc NSPX30 dường như là phiên bản kế thừa của backdoor có tên là Project Wood, đóng vai trò là cơ sở mã cho nhiều phần mềm độc hại khác nhau, bao gồm cả mã độc DCM vào năm 2008 (còn gọi là Dark Spectre), mà NSPX30 có nguồn gốc từ đó.
Báo cáo công khai về Project Wood cho thấy rằng backdoor này đã từng được các tin tặc sử dụng trong một số cuộc tấn công trước đây, bao gồm cả vụ việc nhắm vào một nhân vật chính trị ở Hồng Kông thông qua kỹ thuật tấn công Spearphishing vào năm 2011. Phần mềm độc hại có một trình tải và một backdoor có thể thu thập thông tin chi tiết về hệ thống và mạng, ghi lại các lần thao tác bàn phím và chụp ảnh màn hình.
Tương tự như DCM, NSPX30 dựa vào các cuộc tấn công AitM để phân phối các payload độc hại và có thể vượt qua được một số giải pháp chống phần mềm độc hại của Trung Quốc. Tuy nhiên, mã độc này có cấu hình thành phần khác, với các hoạt động được chia thành hai giai đoạn, trong khi đó mã của DCM được chia thành các thành phần nhỏ hơn.
Theo ESET, Blackwood có khả năng triển khai payload độc hại trên hệ thống mạng của nạn nhân, có thể trên các bộ định tuyến và cổng dễ bị tấn công, sau đó sử dụng nó để chặn lưu lượng HTTP không được mã hóa liên quan đến các bản cập nhật và thay vào đó cung cấp NSPX30 dropper.
Khi được khởi chạy, backdoor sẽ tạo ra một UDP socket lắng nghe thụ động với một cổng do hệ điều hành chỉ định. Cổng tương tự có thể được sử dụng cho cả việc nghe lệnh và lọc dữ liệu, với payload chịu trách nhiệm cho việc chuyển tiếp các gói tin.