针对这个恶意程式框架,骇客采用模组化设计,目前具备12款能窃取各式资料的外挂程式,此外,该框架也强化跨平台监控能力,并使用复杂的命令与控制基础设施,使得攻击者从事间谍活动的行踪难以捉摸。
而对于监控受害者的规模,比起骇客先前使用的恶意软体,收集资料的深度及广度有了进一步的延伸。
针对使用者通讯进行监控的部分而言,攻击者能在未经授权的情况下,入侵WhatsApp、Telegram、Signal、微信(WeChat)等知名即时通讯软体,再者,该框架也能监控Outlook的信件,以及中国云端服务业者阿里巴巴、字节跳动开发的企业协作平台钉钉(DingTalk)及飞书(Lark)。回顾过往LightSpy的作法,显示他们后来也开始监控电子邮件与协作平台,而这些都是未曾出现的活动模式。
值得一提的是,此恶意程式框架也具备窃资软体(Infostealer)相关功能,包含窃取浏览器帐密资料及上网记录、应用程式帐密、网路身份验证资料等,除此之外,攻击者也能从密码管理工具KeePass挖掘更多帐密资料。
除此之外,此恶意软体也具备挖掘系统资讯的能力,以及网路组态,并能调查电脑安装那些软体,甚至还能进一步进行录音。
关于DeepData这款框架发现,研究人员是在调查LightSpy,以及APT41使用的安卓间谍软体的过程发现,他们在APT41的C2,找到名为deepdata.zip的档案,从而发现骇客也对Windows电脑开发网路间谍工具。
至于这些骇客攻击的目标,他们认为很有可能是东南亚参与政治活动的人士,以及记者。