SPECTRALVIPER
Az Elastic Security Labs azonosított egy kampányt, amely vietnami szervezeteket használ ki a kampányával és egy újszerű, SPECTRALVIPER néven azonosított kártékony kódot használ. A támadásokat egy REF2754 néven követett szereplőnek tulajdonították, amely nagy hasonlóságot mutat az APT32, a Canvas Cyclone (korábban Bismuth), a Cobalt Kitty és az OceanLotus néven ismert vietnami fenyegető csoportokkal. A Meta 2020 decemberében összekötötte a REF2754 tevékenységét a CyberOne Group nevű kiberbiztonsági céggel.
Az Elastic által feltárt legújabb fertőzési folyamatban a SysInternals ProcDump segédprogramot kihasználva tölt be egy aláírás nélküli DLL-fájlt, amely tartalmazza a DONUTLOADER-t, amely viszont úgy van beállítva, hogy betöltse a SPECTRALVIPER-t és más rosszindulatú programokat, például a P8LOADER-t vagy a POWERSEAL-t.
A SPECTRALVIPER-t úgy tervezték, hogy kapcsolatba lépjen egy szereplő által vezérelt szerverrel, és várja a további parancsokat, miközben obfuszkációs módszereket is alkalmaz, hogy ellenálljon az elemzésnek.
