LightSpy mAPT
A ThreatFabric felfedezte a LightSpy (DragonEgg) Android-implantátum magját és 14 plugint, amelyek felelősek személyes adatok ellopásáért. A LightSpy egy teljes funkcionalitású moduláris megfigyelő eszközkészlet volt, amely nagy hangsúlyt fektet az áldozatok személyes adatainak ellopására, például a pontos helyadatokra (köztük az épület emeletszámát) és a hangrögzítésre a VOIP-hívások során. A LightSpy képes a fizetési adatok ellopására a WeChat Pay szolgáltatásból. A LightSpy és az AndroidControl (WyrmSpy) ugyanazon az infrastruktúrát használja.
2023 júliusában a Lookout munkatársai jelentést tettek közzé a Spyware két családjáról: a DragonEggről és a WyrmSpyről, a kutatók mindkét családot a kínai APT-41 csoportnak tulajdonították. A ThreatFabric vizsgálata összekapcsolta a DragonEgg-et a kifinomult iOS implantátum LightSpy-vel és Android-komponensével, amelyről a TrendMicro és a Kaspersky 2020-ban számolt be. A ThreatFabric vizsgálata során 20 aktív szerverről szerezett be Android implantátum Core-t és a hozzá tartozó 14 bővítményt. A bővítmények új TTP-ket tártak fel, amelyeket korábban nem tettek közzé.
A ThreatFabric megosztotta az azonosításhoz szükséges mutatókat.