Nhóm tấn công APT Tick phát tán phần mềm độc hại nhằm thực hiện các hành động trái phép

Ngoài ra, nhóm cũng có được quyền truy cập vào mạng nội bộ của công ty phát triển phần mềm ở Đông Á. Mục tiêu của nhóm tấn công nhằm vào các công ty phát triển phần mềm DLP, tổ chức chính phủ và quân đội. Sau khi giành được quyền truy cập thông qua backdoor, đối tượng tấn công bắt đầu phát tán phần mềm độc hại trên hệ thống của công ty.

Vào tháng 04/2021, nhóm tấn công APT Tick đã giả mạo phần mềm Q-Dir để triển khai VBScript backdoor có tên gọi ReVBShell. Vào tháng 6 và tháng 9/2021, phần mềm DLP đã cung cấp các bản cập nhật dưới dạng tệp lưu trữ zip chứa các tệp độc hại.

Sau đó, vào tháng 2 và tháng 6/2022, Q-Dir đã bị trojan hóa thành công cụ hỗ trợ từ xa như helpU và ANYSUPPORT. Nhóm đối tượng tấn công đã duy trì quyền truy cập bằng cách triển khai DLL độc hại để giải mã và đưa payload vào một quy trình được chỉ định.

Payload này bao gồm một trình tải xuống có tên ShadowPy và một biến thể của Netbot (còn được gọi là Invader hoặc Kickesgo) hoặc một trình tải xuống có tên mã là Ghostdown.