ក្រុមរដ្ឋចិនមួយសំដៅទៅរកក្រសួងការបរទេសនិងស្ថានទូតនៅអឺរ៉ុប ដោយប្រើបច្ចេកទេស HTML smuggling ដើម្បីបញ្ជូនមេរោគ trojan PlugX ទៅក្នុងប្រព័ន្ធសម្របសម្រួល។ក្រុមហ៊ុនសន្តិសុខសាយប័រ Check Point ថ្លែងថា សកម្មភាពឈ្មោះ SmugX ដំណើរការតាំងពីចុងឆ្នាំ២០២២ ហើយបន្ថែមទំនោរឆ្ពោះទៅរកអឺរ៉ុប ក្រៅពីចិន។ ក្រុមហ៊ុនបន្តថា ប្រតិបត្តិការនេះប្រើវិធីសាស្រ្តបញ្ជូនដើម្បីដាក់ពង្រាយ (HTML Smuggling) អញ្ញត្តិ PlugX ថ្មី ដែលសហការជាមួយហេគឃ័រជនជាតិចិន។ ទោះជា payload ខ្លួនវាស្រដៀងនឹងអញ្ញត្តិ PlugX ចាស់ វិធីបញ្ជូនរបស់វាពិបាកនឹងរកឃើញជាងមុន រហូតមកដល់ពេលថ្មីៗនេះ យុទ្ធនាការកំពុងស្ថិតក្រោមការឃ្លាំមើល។
អត្តសញ្ញាណពិតប្រាកដនៃហេគឃ័រនៅក្រោយប្រតិបត្តិការនេះ នៅមិនទាន់ដឹងច្បាស់នៅឡើយ បើទោះជាមានគន្លឹះមួយចំនួននៅក្នុងទិសដៅនៃ Mustang Panda ក្តី ក៏ចែករំលែកដូចនឹង Eartch Preta, TedDelta និង Camaro Dragon ដែលបង្កើតឡើងដោយ Check Point។ ទោះបីជាយ៉ាងណា ក្រុមហ៊ុនបន្តថា មានភស្តុតាងមិនគ្រប់គ្រាន់ នៅដំណាក់កាលនេះ។
លទ្ធផលវាយប្រហារថ្មីៗនេះគឺការប្រើ HTML Smuggling ជាបច្ចេកទេសលួចនៅក្នុង HTML5 ស្របច្បាប់ និង JavaScript features ត្រូវប្រើដើម្បីប្រមូលផ្តុំនិងដាក់ចេញមេរោគ នៅក្នុងឯកសារភ្ជាប់បន្លំនៅក្នុងអុីម៉ែលបញ្ឆោត (spear-phishing emails)។ Trustwave កត់សម្គាល់កាលពីខែកុម្ភៈថា HTML smuggling ដាក់ពង្រាយ HTML5 ដែលអាចធ្វើការ offline ដោយការ store a binary នៅក្នុងដំណក់ (blob) ដែលមិនអាចកែប្រែនៃទិន្នន័យនៅក្នុង JavaScript code។ ដំណក់ទិន្នន័យ ឬ payload ដែលបង្កប់ ត្រូវបកប្រែ (decode) ទៅជាឯកសារនៅពេលបើកតាម web browser។ ឯកសារដែលត្រូវអាប់ឡូតទៅកាន់ VirusTotal malware database បង្ហាញថាពួកវាត្រូវបង្កើតឡើងដើម្បីគោលដៅស្ថាប័នស្ថានទូតនិងរដ្ឋាភិបាលនៃប្រទេស Czechia, Hungary, Slovakia, the U.K, Ukraine, បារាំង និងស៊ុយអែត។
ជាក់ស្តែង ហេគឃ័រប្រើ Uyghur-themed lure (“China Tries to Block Prominet Uyghur Speaker at Un.docx”) ដែលនៅពេលបើក វាបញ្ជូនទៅកាន់ម៉ាសុីនមេខាងក្រៅដោយមធ្យោបាយបង្កប់ មើលមិនឃើញពីការទាញយកទិន្នន័យសំខាន់។ ដំណើរការចម្លងមេរោគចម្រុះប្រើវិធីសាស្រ្ត DLL side-loading ដើម្បីឌីគ្រីបនិងដាក់ចេញនូវ payload ចុងក្រោយគឺ PlugX។ ឬក៏ហៅថា Korplug ជាមេរោគកើតនៅឆ្នាំ២០០៨ និងជា modular trojan មានសមត្ថភាពស្នាក់នៅក្នុងកម្មវិធីជំនួយចម្រុះដែលមានមុខងារផ្សេងគ្នាដែលអាចលួចឯកសារ, ចាប់យកអេក្រង់, keystroke logging, និងប្រតិបត្តិពាក្យបញ្ជា។ Check Point ថ្លែងថា នៅក្នុងពេលស៊ើបអង្កេតរបស់យើង ហេគឃ័រផ្ញើ batch script ដែលផ្ញើពី C&C server ដែលមានបំណងលុបដានសកម្មភាពរបស់ពួកគេចេញ។ Script នេះមានឈ្មោះថា del_RoboTask Update.bat លុបប្រតិបត្តិការស្របច្បាប់ the PlugX loader DLL និង registry key សម្រាប់អនុវត្តបន្ត និងចុងក្រោយលុបខ្លួនវាចោល។ នេះបង្ហាញពីការយកចិត្តទុកដាក់របស់ហេគឃ័រ៕