Để xây dựng uy tín và kết nối với các nhà nghiên cứu bảo mật, các đối tượng đã thành lập một blog chuyên đăng các nghiên cứu về khai thác lỗ hổng với nhiều tài khoản Twitter để tương tác với các mục tiêu tiềm năng. Chúng sử dụng các tài khoản Twitter này để đăng các liên kết đến blog của chúng, đăng video về các thành tích được tuyên bố của chúng để khuếch đại và đăng lại các bài đăng từ các tài khoản khác mà chúng kiểm soát.

Hình 1: Các tài khoản của tác nhân đứng đằng sau chiến dịch

Blog của chúng chứa các bài viết và phân tích các lỗ hổng đã được tiết lộ công khai, bao gồm các bài đăng từ những chuyên gia bảo mật chưa từng được biết đến nhằm tạo thêm uy tín với các nhà nghiên cứu bảo mật khác.

Các chuyên gia từ Google không khẳng định về tính chính xác của các bài nghiên cứu trên blog, nhưng họ đã phát hiện ra có một trong số các video đăng tải về mã khai thác của họ là giả mạo. Ví dụ video về CVE-2021-1647 khai thác lỗ hổng Windows Defender, khi rất nhiều chuyên gia khẳng định đây là giả mạo thì tác giả của video lại dùng một tài khoản Twitter khác để khẳng định video này là thật.

Hình 2: Các bài twitter khẳng định uy tín của video giả mạo

Các nhà nghiên cứu bảo mật bị nhắm mục tiêu

Các tác nhân được theo dõi cho thấy, chúng nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng các phương pháp kỹ thuật xã hội mới. Sau khi liên lạc được với các nhà bảo mật, tác nhân sẽ hỏi nhà nghiên cứu xem họ có muốn hợp tác để nghiên cứu lỗ hổng với nhau hay không và cung cấp cho nhà nghiên một dự án Visual Studio. Bên trong Visual Studio là mã nguồn để khai thác lỗ hổng cùng với một tập DLL đính kèm được thực thi thông qua Visual Studio Build Events. Tập tin DLL là mã độc tuỳ chỉnh sẽ kết nối và nhận lệnh từ tên miền do tác nhân kiểm soát.

Hình 3: Lệnh để khởi chạy mã độc đính kèm

Ngoài việc nhắm mục tiêu người dùng thông qua kỹ thuật xã hội, các chuyên gia TAG cũng đã quan sát thấy một số trường hợp máy tính của các nhà nghiên cứu đã bị xâm nhập sau khi truy cập blog của các tác nhân. Trong các trường hợp này, các nhà nghiên cứu đã theo một liên kết trên Twitter tới một bài viết được lưu trữ trên blog.br0vvnn[.]io. Ngay sau đó, một dịch vụ độc hại đã được cài đặt trên máy tính của nhà nghiên cứu, một backdoor trong bộ nhớ sẽ bắt đầu kết nối một máy chủ điều khiển và chạy lệnh được định sẵn. Điều nguy hiểm ở đây là các nhà nghiên cứu đều dùng trình duyệt Chrome và hệ điều hành Windows mới nhất, được cập nhật đầy đủ.

Các chuyên gia không xác định được lỗ hổng của Chrome mà tác nhân đang khai thác nên dự kiến lỗ hổng sẽ còn được sử dụng để khai thác trong các chiến dịch khác. Các chuyên gia cũng khuyến cáo nếu người dùng truy cập vào trang web trên, thì nên cài đặt lại ngay máy tính của mình, cũng như thực hiện đổi mật khẩu các tài khoản quan trọng ngay lập tức.