Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / APT

APT

‘Space Pirates’ China meretas perusahaan kedirgantaraan Rusia

by

Grup peretasan China yang sebelumnya tidak dikenal yang dikenal sebagai ‘Space Pirates’ menargetkan perusahaan di industri kedirgantaraan Rusia dengan email phishing untuk menginstal malware baru di sistem mereka.

Kelompok ancaman diyakini telah mulai beroperasi pada tahun 2017, dan meskipun memiliki tautan ke kelompok-kelompok yang dikenal seperti APT41 (Winnti), Mustang Panda, dan APT27, itu dianggap sebagai kelompok baru aktivitas jahat.

Analis ancaman Rusia di Positive Technologies menamai kelompok itu “Space Pirates” karena operasi spionase mereka yang berfokus pada mencuri informasi rahasia dari perusahaan di bidang kedirgantaraan.

Grup Space Pirates APT terlihat menargetkan lembaga pemerintah dan perusahaan yang terlibat dalam layanan TI, kedirgantaraan, dan industri tenaga listrik yang berlokasi di Rusia, Georgia, dan Mongolia.

Analis ancaman pertama kali menemukan tanda-tanda aktivitas Space Pirates musim panas lalu selama respons insiden dan dengan cepat mengonfirmasi bahwa pelaku ancaman menggunakan malware dan infrastruktur yang sama terhadap setidaknya empat entitas domestik lagi sejak 2019.

Dua dari kasus ini menyangkut perusahaan Rusia dengan partisipasi negara, yang berhasil dikompromikan oleh peretas.

Dalam kasus pertama, pelaku ancaman mempertahankan akses mereka ke 20 server selama sepuluh bulan, mencuri lebih dari 1.500 dokumen, detail karyawan, dan data sensitif lainnya.

Dalam kasus kedua, peretas China tetap berada di jaringan perusahaan yang disusupi selama lebih dari setahun, menyedot informasi rahasia dan memasang malware mereka ke 12 node jaringan perusahaan di tiga wilayah berbeda.

Gudang Bajak Laut Luar Angkasa terdiri dari pemuat khusus yang bersembunyi di balik dokumen umpan, pintu belakang yang sedikit dimodifikasi yang telah ada selama bertahun-tahun, malware merek dagang Cina PlugX, dan putaran khusus pintu belakang PcShare.

Selain itu, serangan Space Pirates juga menggunakan ShadowPad, Zupdax, PoisonIvy, dan ReVBShell dalam serangan.

Selain di atas, APT yang baru ditemukan menggunakan tiga alat malware modular yang sebelumnya tidak terdokumentasi, yaitu Deed RAT, BH_A006, dan MyKLoadClient.

Pemuatan kode shell BH_A006 (PT)

Alat kustom lain yang menarik adalah Deed RAT, yang menampilkan metode yang tidak biasa dan cerdas untuk mentransfer kontrol ke shellcode.

Fungsi Deed RAT bergantung pada plugin mana yang diambil dan dimuat. Misalnya, PT telah melihat delapan plugin untuk startup, konfigurasi C2, instalasi, injeksi kode ke dalam proses, interaksi jaringan, manajemen koneksi, pengeditan registri, pemantauan registri, dan sniffing proxy.

Protokol yang didukung untuk komunikasi C2 termasuk TCP, TLS, HTTP, HTTPS, UDP, dan DNS, jadi umumnya ada tingkat keserbagunaan yang tinggi.

Perintah-perintah yang didukung oleh Deed RAT adalah sebagai berikut:

  • Kumpulkan informasi sistem
  • Buat saluran komunikasi terpisah untuk plugin
  • Hapus sendiri

    • Selengkapnya

Analis ancaman percaya bahwa tumpang tindih antara berbagai APT China disebabkan oleh pertukaran alat, fenomena umum bagi peretas di wilayah tersebut.

Menggunakan alat bersama semakin mengaburkan jejak kelompok ancaman yang berbeda dan membuat pekerjaan analis jauh lebih sulit, sehingga APT China memiliki banyak alasan untuk mengikuti praktik ini.

Berbagai hubungan antara APT Cina (PT)

Space Pirates juga terlihat menyebarkan malware khusus mereka di beberapa perusahaan China untuk keuntungan finansial, sehingga kelompok ancaman mungkin memiliki fungsi ganda.

Spionase adalah operasi standar untuk APT China, dan Rusia adalah target valid yang unggul di bidang kedirgantaraan, senjata, teknik listrik, pembuatan kapal, dan teknologi nuklir.

Sumber:Bleeping Computer

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing yang dilakukan oleh Armageddon APT menggunakan malware GammaLoad.PS1_v2.

by

Tim Tanggap Darurat Komputer Ukraina (CERT-UA) melaporkan kampanye phishing menggunakan pesan dengan subjek “Pembalasan dendam di Kherson!” dan berisi lampiran “Plan Kherson.htm”.

File HTM akan memecahkan kode dan membuat arsip bernama “Herson.rar”, yang berisi pintasan file bernama “Rencana pendekatan dan penanaman bahan peledak pada objek infrastruktur kritis Kherson.lnk”.

Setelah mengklik file tautan, file HTA “precarious.xml” dimuat dan dieksekusi yang mengarah ke pembuatan dan eksekusi file “desktop.txt” dan “user.txt”.

Pada tahap terakhir dari rantai serangan, malware GammaLoad.PS1_v2 diunduh dan dieksekusi di komputer korban.

Para ahli pemerintah mengaitkan serangan itu dengan Armageddon APT (UAC-0010) yang terkait dengan Rusia (alias Gamaredon, Primitive Bear, Armageddon, Winterflounder, atau Iron Tilden) yang terlibat dalam serangkaian serangan panjang terhadap organisasi negara setempat.

“Akibatnya, program jahat GammaLoad.PS1_v2 akan diunduh ke komputer (mekanisme mengambil tangkapan layar dan mengirimkannya ke server manajemen telah diterapkan).” membaca nasihat yang diterbitkan oleh CERT-UA. “Kegiatan tersebut dilakukan oleh kelompok UAC-0010 (Armageddon).”

CERT Ukraina membagikan indikator kompromi (IoC) untuk kampanye ini.

Sumber: Security Affairs

Peretas Iran terungkap dalam kampanye spionase yang sangat ditargetkan

by

Analis ancaman telah melihat serangan baru yang dikaitkan dengan kelompok peretasan Iran yang dikenal sebagai kelompok APT34 atau Oilrig, yang menargetkan seorang diplomat Yordania dengan alat yang dibuat khusus.

Serangan itu melibatkan teknik anti-deteksi dan anti-analisis tingkat lanjut dan memiliki beberapa karakteristik yang menunjukkan persiapan yang panjang dan hati-hati.

Peneliti keamanan di Fortinet telah mengumpulkan bukti dan artefak dari serangan pada Mei 2022 dan menyusun laporan teknis untuk menyoroti teknik dan metode terbaru APT34.

Email spear-phishing yang dilihat oleh Fortinet menargetkan seorang diplomat Yordania, berpura-pura dari seorang rekan di pemerintahan, dengan alamat email yang dipalsukan.

Email tersebut membawa lampiran Excel berbahaya yang berisi kode makro VBA yang dijalankan untuk membuat tiga file, file yang dapat dieksekusi berbahaya, file konfigurasi, dan DLL yang ditandatangani dan dibersihkan.

Makro juga menciptakan kegigihan untuk executable berbahaya (update.exe) dengan menambahkan tugas terjadwal yang berulang setiap empat jam.

Temuan lain yang tidak biasa menyangkut dua mekanisme anti-analisis yang diterapkan di makro: pengalihan visibilitas lembar dalam spreadsheet dan yang lainnya memeriksa keberadaan mouse, yang mungkin tidak ada pada layanan kotak pasir analisis malware.

Eksekusi berbahaya adalah biner .NET yang memeriksa status program dan membuat dirinya tertidur selama delapan jam setelah diluncurkan. Para analis percaya para peretas mungkin menetapkan penundaan ini dengan asumsi bahwa diplomat akan membuka email di pagi hari dan pergi setelah delapan jam sehingga komputer tidak akan dijaga.

Saat aktif, malware berkomunikasi dengan subdomain C2 menggunakan alat algoritma pembuatan domain (DGA). DGA adalah teknik yang digunakan secara luas yang membuat operasi malware lebih tahan terhadap penghapusan domain dan daftar blokir.

Sistem algoritma pembuatan domain (Fortinet)

Kemudian membuat terowongan DNS untuk berkomunikasi dengan alamat IP yang disediakan. Ini adalah teknik yang jarang terlihat yang membantu pelaku ancaman mengenkripsi data yang dipertukarkan dalam konteks komunikasi ini, sehingga menyulitkan pemantau jaringan untuk menangkap sesuatu yang mencurigakan.

Terowongan DNS dalam komunikasi C2 (Fortinet)

Beberapa domain yang digunakan dalam kampanye diberi nama yang mencurigakan, jelas berusaha menyamar sebagai entitas terkenal dan tepercaya seperti AstraZeneca, HSBC, dan Cisco.

Selanjutnya, C2 mengirimkan dua puluh dua perintah backdoor yang berbeda ke malware, yang dijalankan melalui PowerShell atau Windows CMD interpreter.

Terakhir, eksfiltrasi data yang dicuri dilakukan melalui DNS, dengan data yang disematkan ke dalam permintaan, membuatnya tampak standar dalam log jaringan.

Eksfiltrasi DNS APT34 (Fortinet)

APT34 sebelumnya telah dikaitkan dengan pemerintah Iran dan merupakan aktor ancaman yang cakap yang beroperasi dalam bayang-bayang, tidak meninggalkan banyak jejak.

Dengan demikian, laporan Fortinet sangat berharga bagi para peneliti dan pembela, yang harus memperhatikan indikator kompromi yang dipublikasikan.

Sumber: Bleeping Computer

APT34 Menargetkan Pemerintah Yordania Menggunakan Backdoor Baru Saitama

by

Pada tanggal 26 April, kami mengidentifikasi email mencurigakan yang menargetkan pejabat pemerintah dari kementerian luar negeri Yordania. Email tersebut berisi dokumen Excel berbahaya yang menjatuhkan pintu belakang baru bernama Saitama. Setelah penyelidikan kami, kami dapat menghubungkan serangan ini dengan Aktor Iran yang dikenal APT34.

Juga dikenal sebagai OilRig/COBALT GYPSY/IRN2/HELIX KITTEN, APT34 adalah kelompok ancaman Iran yang menargetkan negara-negara Timur Tengah dan korban di seluruh dunia setidaknya sejak 2014. Kelompok ini diketahui fokus pada keuangan, pemerintahan, energi, kimia, dan sektor telekomunikasi.

Dalam posting blog ini, kami menjelaskan alur serangan dan membagikan detail tentang pintu belakang Saitama.

File email berbahaya

Email jahat tersebut dikirim ke korban melalui akun Microsoft Outlook dengan subjek “Confirmation Receive Document” dengan file Excel bernama “Confirmation Receive Document.xls”. Pengirim berpura-pura menjadi orang dari Pemerintah Yordania dengan menggunakan lambangnya sebagai tanda tangan.

Selengkapnya: MalwareBytes

Peretas mencuri data yang tidak terdeteksi dari AS dan organisasi Eropa sejak 2019

by

Kelompok peretas China yang dikenal sebagai ‘Winnti’ telah secara diam-diam mencuri aset kekayaan intelektual seperti paten, hak cipta, merek dagang, dan data perusahaan lainnya – dan tetap tidak terdeteksi oleh peneliti keamanan serta target sejak 2019.

Winnti, juga dilacak sebagai APT41, adalah kelompok spionase dunia maya yang canggih dan sulit dipahami yang diyakini didukung oleh negara Tiongkok dan beroperasi atas nama kepentingan nasionalnya.

Kampanye kejahatan dunia maya yang ditemukan telah berlangsung setidaknya sejak 2019 dan menargetkan perusahaan teknologi dan manufaktur di Asia Timur, Eropa Barat, dan Amerika Utara.

Operasi kriminal ini dikenal sebagai ‘Operasi CuckooBees’ dan ditemukan oleh analis di Cybereason, yang mengungkapkan malware baru yang disebarkan oleh kelompok peretas terkenal, mekanisme yang mereka manfaatkan untuk penyusupan, dan metode pengiriman muatan rumit yang mereka gunakan.

Yang menjadi highlight dalam laporan Cybereason adalah malware Winnti baru yang dijuluki “DEPLOYLOG” dan metode penyalahgunaan mekanisme Windows CLFS (Common Log File System) untuk penyembunyian muatan.

Malware DEPLOYLOG, yang belum didokumentasikan sebelumnya, adalah DLL 64-bit (disamarkan sebagai “dbghelp.dll”) yang mengekstrak dan mengeksekusi payload terakhir Winnti, rootkit WINNKIT, dan kemudian membuat dua saluran komunikasi dengan remote C2 dan rootkit tingkat kernel.

Cybereason percaya bahwa karena kompleksitas, tersembunyi, dan kecanggihan Operasi CuckooBees, kemungkinan besar Winnti telah menginfeksi lebih banyak sistem perusahaan daripada yang dapat mereka verifikasi.

Selengkapnya: Bleeping Computer

Serangan Keamanan Siber Melonjak saat Perang Ukraina-Rusia Berkecamuk

by

Apa yang dilihat orang adalah perang antara tentara Rusia dan Ukraina, yang kurang diketahui adalah skala perang hibrida. Sebuah istilah yang diciptakan oleh NATO untuk menggambarkan kombinasi perang kinetik dan informasi. Realitas yang sedang berlangsung adalah campuran ampuh dari serangan kinetik dengan senjata dan amunisi, yang digunakan dalam kombinasi dengan serangan dunia maya, dan kampanye disinformasi. Hal ini sangat melegakan bagaimana hubungan internasional bekerja telah berubah dalam dekade terakhir. Sebagian besar pakar hubungan internasional dan diplomat setuju bahwa revolusi ini merupakan komponen penting dari transformasi digital yang sedang berlangsung di seluruh masyarakat, dan oleh karena itu perang dunia maya menjadi lebih menjadi kenyataan daripada teori.

Dari segi sosiologis, kesatuan negara, masyarakat, dan ekonomi tidak bisa lagi dianggap remeh, karena tidak ada batasan geografis dalam perang siber. Lingkungan ini dicirikan oleh signifikansi yang diberikan pada informasi, pengetahuan, dan gagasan sebagai sumber daya dalam hubungan internasional, dan dengan perluasan – informasi yang menyebabkan kemungkinan dampak kinetik, atau non-kinetik dalam konflik bersenjata.

Dalam beberapa minggu terakhir, Rusia telah menggunakan perang kinetik disertai dengan kampanye disinformasi yang diatur dengan baik. Kampanye disinformasi yang khas dapat merusak kebenaran, membingungkan orang-orang dari kedua belah pihak dan menarik narasi palsu, menabur benih perselisihan dan ketidakpercayaan di antara masyarakat luas. Menggunakan operasi psikologis dan/atau perang informasi membutuhkan kerja sama dari entitas sektor publik dan swasta dari pihak Rusia untuk mencapai massa kritis agar kampanye disinformasi menjadi nyata.

Dalam konteks perang Rusia-Ukraina, aktor ancaman muncul dari web gelap, mencoba mengambil keuntungan finansial dari situasi kacau. Jaringan perusahaan dan akses basis data ditawarkan oleh pelaku ancaman dengan imbalan uang. Serangan Hermetic Wiper yang merusak lebih lanjut diamati sebagai yang paling umum selama perang Rusia Ukraina yang sedang berlangsung serta menjelang perang kinetik.

Apa dampak dari serangan cyber?

Para peneliti telah memperkirakan serangan siber sebagai komponen utama dalam perang di masa depan. Komponen ini dikatakan sebagai domain konflik kelima setelah darat, udara, laut, dan ruang angkasa.

Efek yang paling menonjol dari operasi cyber, menurut peneliti akan mengganggu operasi militer. Misalnya, peretas dapat mengganggu saluran komunikasi untuk menghentikan komando tinggi mengirim perintah ke pasukan garis depan. Ini akan menyebabkan tindakan tertunda dalam situasi perang. Metode serangan lain bagi peretas adalah memalsukan pesan dengan instruksi palsu untuk menggunakan situasi demi kepentingan mereka.

Dalam perang ini, serangan siber digunakan untuk menciptakan kepanikan dan menurunkan kemampuan lawan untuk bertarung, operasi informasi mematahkan tekad untuk merespons dan mendorong narasi yang kondusif bagi pasukan penyerang, bahkan melegitimasi agresi. Operasi kinetik dengan demikian sesuai dibantu dengan pelunakan medan perang. Ketika NATO menuduh Rusia melakukan perang hibrida, inilah yang mereka maksud.

Hermetic Wiper

Target: Bisnis di Ukraina
Motivasi: mengenkripsi data komputer dengan cara yang tidak dapat dipulihkan
Hasil: Hingga saat ini telah menyebabkan kerugian finansial sebesar $10 miliar secara global
Deskripsi: Nama Hermetic Wiper diberikan berdasarkan sertifikat digital yang dicuri dari sebuah perusahaan bernama Hermetic Digital Ltd. Malware tersebut memecah-mecah file pada disk dan menimpanya melalui utilitas master boot recovery (MBR) untuk membuat pemulihan menjadi tidak mungkin. Secara praktis, malware memperoleh akses tulis ke struktur data tingkat rendah pada disk. Karena sifat fungsionalnya, ia juga dikenal sebagai malware penghapus disk atau hanya disebut sebagai penghapus. Serangan cyber menyebarkan malware yang terutama menghapus data ditemukan hanya beberapa jam sebelum pasukan Rusia memasuki Ukraina, ini dapat dianggap sebagai serangan pertama Moskow terhadap Ukraina.
Hermetic Wiper IOC’s

  • 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591
  • 0385eeab00e946a302b24a91dea4187c1210597b8e17cd9e2230450f5ece21da
  • A64c3e0522fad787b95bfb6a30c3aed1b5786e69e88e023c062ec7e5cebf4d3e

MITRE ATT&CK Mapping for Hermetic Wiper

Selengkapnya: LMNTRIX

Stormous: Geng Ransomware Pro-Rusia Menargetkan AS dan Ukraina

by

Sebagai bagian dari penelitian Dark Web dan cybercriminal reguler kami, Trustwave SpiderLabs telah menemukan dan menganalisis postingan dari grup ransomware pro-Rusia yang bermotivasi politik bernama Stormous. Kelompok tersebut baru-baru ini menyatakan dukungan untuk Rusia dalam perangnya dengan Ukraina, menyerang Kementerian Luar Negeri Ukraina dan diduga memperoleh dan membuat nomor telepon umum, alamat email, dan kartu identitas nasional. Kelompok itu juga mengklaim memiliki operasi ransomware yang sukses terhadap merek-merek besar Amerika Coca-Cola, Mattel dan Danaher. Secara total, Stormous mengklaim telah mengakses dan merusak 700 situs web AS dan menyerang 44 perusahaan Amerika.

Siapa Stormous?

Stormous, yang mungkin telah mulai beroperasi pada pertengahan 2021, telah memposting pernyataan misi yang menyatakan tujuannya adalah untuk menyerang target di AS dan negara-negara barat lainnya. Tujuan ini bergeser pada tahun 2022, menambahkan Ukraina dan India ke daftar targetnya. Cara mereka mendiskusikan negara sebagai target mereka dibandingkan dengan bisnis atau industri tertentu menunjukkan bahwa politik lebih memengaruhi perubahan target ini daripada keuntungan finansial.

Analisis awal kami terhadap Stormous menunjukkan geng tersebut kemungkinan memiliki anggota yang berlokasi di negara-negara Timur Tengah dan Rusia. Beberapa postingan kelompok itu ditulis dalam bahasa Arab bersama dengan sikap publiknya yang pro-Rusia, yang konsisten dengan wilayah tersebut. Apalagi, dua anggota kelompok yang ditangkap berasal dari negara-negara timur tengah.

Grup berkomunikasi melalui saluran Telegram dan situs web .onion di Tor. Ada sedikit obrolan di saluran Telegram, dengan percakapan yang sebagian besar terdiri dari proklamasi grup. Meskipun grup tersebut mengidentifikasi dirinya sebagai grup ransomware, grup tersebut tidak beroperasi sebagai Ransomware-as-a-Service (RaaS), dan tidak diketahui jenis ransomware apa yang mungkin digunakan dalam kampanye mereka.

Era Baru Penjahat Dunia Maya

Gaya baru kelompok ancaman Stormous yang tidak takut — dan bahkan mencari pujian publik — dapat membuat anggotanya lebih rentan untuk ditemukan dan ditangkap.

Meskipun mungkin ada sisi positif dari perspektif pengaruh dan branding untuk membuat aktivitas peretasan menjadi publik, penegak hukum dapat menggunakan informasi komunikasi untuk membawa penjahat dunia maya lebih cepat ke pengadilan.

Trustwave SpiderLabs akan terus melacak ancaman Stormous dan aktivitas grup saat lebih banyak informasi tersedia.

Sumber: Trustwave

Kelompok spionase dunia maya China Moshen Dragon menargetkan perusahaan telekomunikasi Asia

by

Para peneliti telah mengidentifikasi sekelompok baru aktivitas dunia maya berbahaya yang dilacak sebagai Moshen Dragon, yang menargetkan penyedia layanan telekomunikasi di Asia Tengah.

Meskipun kelompok ancaman baru ini memiliki beberapa tumpang tindih dengan “RedFoxtrot” dan “Nomad Panda,” termasuk penggunaan varian malware ShadowPad dan PlugX, ada cukup banyak perbedaan dalam aktivitas mereka untuk mengikuti mereka secara terpisah.

Menurut laporan baru oleh Sentinel Labs, Moshen Dragon adalah kelompok peretas yang terampil dengan kemampuan untuk menyesuaikan pendekatannya tergantung pada pertahanan yang mereka hadapi.

Peretas terlibat secara ekstensif dalam mencoba melakukan sideload Windows DLL berbahaya ke dalam produk antivirus, mencuri kredensial untuk bergerak secara lateral, dan akhirnya mengekstrak data dari mesin yang terinfeksi.

Rantai operasi keseluruhan Moshen Dragon (Laboratorium Sentinel)

Saat ini, vektor infeksi tidak diketahui, jadi laporan Sentinel Lab dimulai dengan penyalahgunaan antivirus, yang mencakup produk dari TrendMicro, Bitdefender, McAfee, Symantec, dan Kaspersky.

Karena produk AV ini berjalan dengan hak istimewa tinggi pada OS Windows, pemuatan samping DLL berbahaya pada prosesnya memungkinkan peretas menjalankan kode pada mesin dengan sedikit batasan dan berpotensi menghindari deteksi.

Moshen Dragon menggunakan metode ini untuk menerapkan Impacket, kit Python yang dibuat untuk memfasilitasi gerakan lateral dan eksekusi kode jarak jauh melalui Windows Management Instrumentation (WMI).

Fitur gerakan lateral Impacket (Lab Sentinel)

Impacket juga membantu pencurian kredensial, menggabungkan alat sumber terbuka yang menangkap detail perubahan kata sandi pada domain dan menulisnya ke file “C:\Windows\Temp\Filter.log”.

Filter kata sandi yang digunakan untuk mencuri kredensial (Sentinel Labs)

Memiliki akses ke sistem tetangga, grup ancaman menjatuhkan pemuat pasif pada mereka yang mengonfirmasi bahwa itu ada di mesin yang tepat sebelum mengaktifkan dengan membandingkan nama host dengan nilai hardcoded.

Seperti yang disarankan oleh Sentinel Labs, ini merupakan indikasi bahwa pelaku ancaman menghasilkan DLL unik untuk setiap mesin yang ditargetkannya, indikasi lain dari kecanggihan dan ketekunan mereka.

Loader menggunakan paket sniffer WinDivert untuk mencegat lalu lintas masuk sampai mendapatkan string yang diperlukan untuk dekripsi diri dan kemudian membongkar dan meluncurkan payload (SNAC.log atau bdch.tmp).

Fungsi yang diekspor loader (Lab Sentinel)

Menurut Sentinel Labs, muatannya mencakup varian PlugX dan ShadowPad, dua pintu belakang yang digunakan beberapa APT China dalam beberapa tahun terakhir. Tujuan akhir dari aktor ancaman adalah untuk mengekstrak data dari sistem sebanyak mungkin.

Temuan menarik adalah bahwa loader yang dianalisis oleh Sentinel Labs kali ini telah ditemukan lagi oleh peneliti Avast pada Desember 2021, yang menemukannya di sistem pemerintah AS.

Ini bisa berarti bahwa Moshen Dragon memiliki banyak target atau mengalihkan fokusnya, atau hanya beberapa APT China yang menggunakan pemuat tertentu.

Sumber: Bleeping Computer