这些Web Shell包括:AntSword、chinatso(Chopper),以及档案上传工具,而它们的共通点在于,内含简体中文讯息;另一方面,研究人员也发现骇客使用简体中文工具MaLoader产生TetraLoader,而这些迹象,也是Talos判断UAT-6382来自中国的依据。
针对上述Web Shell的用途,骇客主要是拿来建立后门,此外还会试图找出受害组织存放的机密资料,并部署TetraLoader,过程中骇客都透过PowerShell来进行相关流程。
而对于TetraLoader这支恶意程式,研究人员指出骇客以Rust打造而成,并用于载入两种作案工具。一种是Cobalt Strike的Beacon,以注入正常处理程序的方式于记忆体内执行Shell Code;另一种则是恶意程式VShell,用于与特定的C2伺服器进行通讯,并执行收到的程式码。