WinDealerが側を扱っています from securelist.com

調査した1つのケースでは、2012年にコンパイルされた署名付き実行可能ファイルqgametool.exe（MD5 f756083b62ba45dcc6a4d2d2727780e4）がターゲットマシンにWinDealerをデプロイしていることに気付きました。
2020年に発見した最新のWinDealerサンプルには、ハードコードされたC2サーバーは含まれていませんが、代わりに、接続するマシンを決定するために複雑なIP生成アルゴリズムに依存しています。
0x0C |攻撃者によって設定されたフラグ。
これはVPNを使用して行うことができますが、管轄によっては違法である可能性があり、通常、中国語を話すターゲットは利用できません。
評価を確認した後、分析したWinDealerサンプル（「BBB」）と同じ一意のユーザーエージェントを使用するダウンローダーユーティリティ（MD5 4e07a477039b37790f7a8e976024eb66）を発見し、LuoYuに弱く結び付けました。
このレポートでは、LuoYuを、最も成熟した攻撃者だけが利用できる機能を活用できる非常に高度な脅威アクターとして認識しています。