به گزارش گرداب، به نقل از پژوهشگران Yoroi، در ایمیل‌ها از پیوست‌هایی استفاده شده که محتوای آن‌ها یک فایل جاوااسکریپت است. این فایل پس از اجرا مولفه‌های مخرب دیگری را دریافت و سیستم قربانی را آلوده می‌کند.

فایل جاوااسکریپت در ابتدا شروع به ایجاد ترافیک زیادی می‌کند تا شناسایی زیرساخت مخرب را دشوار کند. این کار از طریق ایجاد مجموعه‌ای از URLهای تصادفی و اتصال ناموفق به آن‌ها انجام می‌شود که منجر به تولید حجم ترافیک بالا در محیط‌های تحلیل می‌شود.

بدافزار در مرحله دوم فرایندهای مخرب خود از فایل ppc.cab استفاده می‌کند که این فایل در مرحله اول در مسیر %APPDATA%\Roaming قرار داده شده است. درون این فایل یک فایل اجرایی با نام puk.exe وجود دارد. این فایل از فرایندهای پردازشی مرورگر اینترنت اکسپلورر استفاده می‌کند تا فعالیت شبکه خود را مخفی کند.

بدافزار در مرحله سوم فعالیت‌هایی را انجام می‌دهد تا پایداری خود را در سیستم حفظ کند و برای مدت بیشتری در سیستم قربانی بماند. این کار با تعیین کلیدهای رجیستری انجام می‌شود. 

نشانه‌های آلودگی (IoC):

آدرس دریافت ppc.cab:

•    hxxp:// groupschina.]com/tss/ppc.cab

سرورهای C&C:

•    ۱۴۹,۱۲۹.۱۲۹.۱

•    ۴۷,۷۴.۱۳۱.۱۴۶

•    ۱۷۶,۹.۱۱۸.۱۴۲

•    grwdesign[.com

•    rest.relonter[.at

•    web۲۰۰۳.uni[.net

•    web۲۳۴۱.uni۵[.net

•    in.ledalco[.at

•    int.nokoguard[.at

•    io.ledalco[.at

•    rest.relonter[.at

•    apt.melotor[.at

•    torafy[.cn

هش‌ها:

•    ۸۱۷۹۸ea۱۲۵۳۵۹ca۴e۶۱۸a۵۶۱۹cd۸۵۶f۹۵f۳fb۸۰۹f۵f۳۰۲۲a۴۲۵۶۳bd۳b۶۲۷f۲ca -  puk.exe

•    ۰۷۶a۲fea۰۶c۳۶۰۵۹۲۷bd۰d۳acc۴ed۱۱db۳c۳۶a۸۲۹aced۰۶۰۸۱c۲e۳ac۹۹۷۱f۳۴۷ -۳۵۶۲۳۸۰۲.bat

•    f۲cd۵۸۸۶۰b۶۰۸۵b۶۳۶۳۴۹۸۰a۶۴۱ebcd۹b۴۱۴۸۹۸۲d۶۸۱cad۸۸f۰۰b۰۸b۳۴۱c۷bc۱ - ppc.cab