这些中国骇客组织,包含了最早利用漏洞的UNC5221,再者,还有UNC5266、UNC5330、UNC5337、UNC5291。
其中,最值得留意的应该是UNC5291,原因是该组织与Volt Typhoon(研究人员称UNC3236)有所关连。这些骇客在去年12月主要针对Citrix Netscaler ADC,但在1月相关漏洞公布后,就转向Ivanti的设备。由于Volt Typhoon主要目标是关键基础设施,而企业组织很有可能使用Ivanti Connect Secure架设外部连线的管道。
其他从事相关攻击的组织,还包括:UNC5266利用漏洞于受害组织部署Sliver渗透测试框架、恶意软体Warpwire;UNC5330在VPN系统部署恶意程式Phantomnet、Tonerjam,并借由WMI进行侦察、横向移动;UNC5337散布后门程式Spawnsnail、隧道程式Spawnmole、事件记录窜改工具Spawnsloth。