中国资安业者奇安信揭露于2022年底发生的Operation HideBear攻击行动,骇客打造常用应用程式的下载网站,并购买Google搜寻引擎广告,散布重新透过Inno Setup封装、带有恶意程式的安装档,引诱使用者上当,但当时没有取得恶意酬载的相关档案,而无法确认攻击者身分。
后来在2023年中旬,研究人员再度观察到这些恶意安装程式的攻击行动,有东亚及北美的使用者受害,攻击者最终透过SFTP通讯协定,于受害电脑投放名为Minebridge的RAT木马程式,并透过远端桌面连线程式TeamViewer以DLL侧载(DLL Side-loading)的方式执行。攻击者存取受害电脑的方式,可能是透过AnyDesk,然后利用PsExec进行横向移动。值得留意的是,骇客为了隐匿攻击流量,受害电脑与C2连线的管道,是透过OpenSSH建立的反向隧道,而能够绕过EDR系统的侦测。