恶名昭彰的中国骇客组织APT41近年来动作频频,其动态尤其引人关注,自思科去年8月侦测到受害组织的IP位址在下载PowerShell指令码,并执行恶意命令的情况,事实上,根据他们的追踪,这些骇客从去年7月开始,存取其中3台主机,滥用微软办公室软体Office的旧版输入法编辑器(IME)档案,以及已知漏洞CVE-2018-0824,将恶意程式ShadowPad、Cobalt Strike,以及其他后续作案的攻击工具植入这个研究机构当中,
在入侵的过程里,骇客尝试执行恶意程式UnmarshalPwn来利用CVE-2018-0824。此外,一旦后门成功部署,他们就会立刻清除Web Shell,或是用来存取的Guest帐号,研究人员指出,这些骇客相当谨慎。