对于骇客部署SpawnChimera的方法,増渕维摩表示与先前Mandiant公布的差不多,将此恶意程式注入其他处理程序的手法也雷同,没有太大的差别。但他们发现,SpawnChimera具备不少新的回避侦测机制,甚至会帮受害系统修补漏洞。
首先,増渕维摩提及SpawnChimera利用Unix Domain Socket进行处理程序之间的通讯,取代原本利用隧道工具Spawnmole及后门程式Spawnsnail的做法,这也使得防守方难以透过netstat网路监控工具察觉异状。
再者,骇客利用CVE-2025-0282成功入侵Ivanti Connect Secure主机之后,SpawnChimera借由替换strncpy功能函式的方法修补弱点,如此一来,其他骇客无法利用相同漏洞再度入侵。
另外,SpawnChimera使用XOR演算法处理写入程式码的SSH解密金钥,并清除除错讯息,使得资安人员更难发现相关行踪。