ប្រតិបត្តិការបោកបញ្ឆោត (spear-phishing) លើស្ថាប័នរដ្ឋាភិបាលឥណ្ឌា មានបំណងដាក់ពង្រាយបច្ចុប្បន្នភាពទ្វារក្រោយ ReverseRAT។ ក្រុមហ៊ុនសន្តិសុខសាយប័រ ThreatMon ចាត់ទុកសកម្មភាពនេះថាជាស្នាដៃរបស់ក្រុមហេគឃ័រ SideCopy។ ក្រុមនេះគឺជាក្រុមហេគឃ័រដែលមានដើមកំណើតនៅប៉ាគីស្ថាន ហើយបែងចែកតួនាទីគ្នាជាមួយហេគឃ័រផ្សេងឈ្មោះថា Transparent Tribe។ វាសហការជាមួយក្រុម SideWinder ដើម្បីបញ្ជូនមេរោគរបស់វា។ ក្រុមហេគឃ័របញ្ជូនមេរោគ ReverseRAT នៅឆ្នាំ២០២១ នៅពេលនោះវាវាយប្រហារលើរដ្ឋាភិបាល និងសេវាផ្គត់ផ្គង់ថាមពលនៅប្រទេសឥណ្ឌា និងអាហ្គានីស្ថាន។
នាពេលថ្មីៗនេះ ការវាយប្រហារជាប់ទាក់ទងជាមួយនឹងក្រុម SideCopy វាប្រើប្រាស់ការផ្ទៀងផ្ទាត់២កត្តា ដែលគេស្គាល់ថាជា Kavach (ប្រែថា “កងទ័ព” ជាភាសាហិណ្ឌូ) ដែលត្រូវប្រើជាផ្លូវការដោយរដ្ឋាភិបាលឥណ្ឌា។ការចម្លងមេរោគនេះត្រូវរៀបចំជាឯកសារដោយ ThreatMon ចាប់ផ្តើមជាមួយនឹងសារបោកបញ្ឆោតមានផ្ទុកឯកសារ Word ដែលបើកម៉ាក្រូ (macro-enabled) (“Cyber Advisory 2023.docm”)។ ឯកសារត្រូវបន្លំជាអនុសាសន៍ចេញពីក្រសួងទំនាក់ទំនងរបស់ឥណ្ឌាអំពី “ការគំរាមកំហែង និងការការពារ Android”។ ភាគច្រើននៃ content ថតចម្លងពីការដាស់តឿនរបស់រដ្ឋាភិបាលនៅក្នុងខែកក្កដា ឆ្នាំ២០២០ អំពីការអនុវត្តសន្តិសុខសាយប័រ។ នៅពេលដែលឯកសារត្រូវបើក និងម៉ាក្រូត្រូវបើក វាបង្កើតឱ្យមានប្រតិបត្តិការព្យាបាទដែលនាំឱ្យមានការដាក់ពង្រាយមេរោគ ReverseRAT នៅលើប្រព័ន្ធដែលសម្របសម្រួល។
កាលពីសប្តាហ៍មុន ក្រុមហ៊ុនថ្លែងថា នៅពេលលមេរោគ ReverseRAT មានវត្តមាននៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ វាចាប់ផ្តើមប្រមូលទិន្នន័យ, អ៊ីនគ្រីប (ដោយប្រើ RC4) និងផ្ញើមេរោគនេះទៅកាន់ម៉ាស៊ីនមេដើម្បីបញ្ជា និងគ្រប់គ្រង។ វារង់ចាំបញ្ជា ដើម្បីប្រតិបត្តិការនៅលើម៉ាស៊ីនគោលដៅ និងដំណើរការតួនាទីផ្សេងៗដូចជា ថតអេក្រង់ ដោនឡូត និងប្រើប្រាស់ឯកសារ និងអាប់ឡូតឯកសារទៅកាន់ C2 server៕
ប្រែសម្រួលដោយ៖ កញ្ញា
