新しいバックドアは、オープンソースパッケージインストーラーを介してフランスのエンティティを標的にします

エンタープライズセキュリティ会社のProofpointは、観察された戦術と被害者学のパターンに基づいて、攻撃をおそらく高度な脅威アクターに帰した。
「攻撃者は、潜在的な被害者のデバイスにバックドアをインストールしようとしました。これにより、リモート管理、コマンドアンドコントロール（C2）、データの盗難、またはその他の追加のペイロードの配信が可能になります」と、Proofpointの研究者はHackerNewsと共有したレポートで述べています。
次に、PowerShellスクリプトは、WindowsマシンにChocolateyユーティリティをインストールするように設計されており、Pythonパッケージインストーラーpipをインストールするために使用されます。
また、同じPowerShellスクリプトによって取得されるのは、同じリモートサーバーからの別のイメージファイルで、C2サーバーから送信されたコマンドを実行する機能を備えた偽装されたPythonバックドアと呼ばれるSerpentが含まれています。
ステガノグラフィに加えて、本物のPythonパッケージの後続の展開のための初期ペイロードとしてChocolateyなどの広く認識されているツールを使用することは、レーダーの下に留まり、脅威としてフラグが立てられないようにする試みであるとProofpointは述べています。
「これは、組織内で合法的に使用されることが多いさまざまなテクノロジーの新しいアプリケーションです」と、Proofpointの脅威調査および検出担当副社長であるSherrodDeGrippo氏は声明で述べています。