隶属于APT10旗下、匿称为的中国骇客组织,长期锁定日本企业组织发动攻击,但传出针对骇客接触受害者的过程,他们假借要求应征,或是提供出国考察报告的名义寄送钓鱼邮件,而这些邮件都来自遭到入侵的帐号,内容都嵌入OneDrive连结,一旦收信人点选,电脑就会下载带有恶意Excel档案的ZIP档,研究人员将这批Excel档称为RoamingMouse。若是收信人依照指示启用巨集,这些恶意Excel档案会透过巨集,于受害电脑载入Anel的元件。
研究人员指出,骇客的手法与去年有所不同,包含从Word档案更换为Excel档案,其恶意行为的触发,也从必须透过滑鼠移动(MouseMove),改为要受害者点选,但为何如此调整,研究人员并未说明。
附带一提的是,RoamingMouse若是在受害电脑侦测到McAfee防毒软体,就会调整运作的模式,在启动资料夹产生批次档,并以特定参数执行档案总管。
在成功于受害电脑植入Anel后,骇客便会下达命令截取萤幕画面,并侦察受害环境,若是确认是想要下手的目标,他们才会部署第2阶段的后门程式NoopDoor。而与先前攻击行动出现的恶意软体最显著的差异,在于这次骇客于NoopDoor导入了DNS over HTTPS(DoH),使得后门与C2之间的通讯更为隐密。