资安业者赛门铁克揭露中国黑客组织锁定特定亚洲国家电信业者的网络间谍活动，这些黑客在受害公司的网络环境植入后门程序，并试图窃取各式帐密数据。

研究人员指出，对方的攻击行动至少可追溯至2021年，不过，他们掌握2020年已有部分活动的证据。而对于攻击目标的部分，虽然黑客主要是锁定电信业者，但是也有提供电信业者服务的公司，以及另一个国家的大学受害。

究竟对方的目的为何，研究人员表示并不清楚，但很有可能是为了收集特定国家的电信行业情报，甚至进行监听，也不排除对当地关键基础设施进行破坏；而对于攻击者的身分，他们也推测有几种可能，有可能是多组人马进行合作，或是不约而同发动攻击；也有可能是未被发现的黑客组织出手，并使用其他团队提供的作案工具犯案。

针对黑客使用的作案工具，研究人员提及3个后门程序Coolclient、Quickheal、Rainyday，其共通点是和中国黑客组织有所关连，但究竟这些黑客如何运用这些后门程序，研究人员并未进一步说明。

其中，Coolclient与中国黑客组织Mustang Panda（也称做Earth Preta）有关，黑客将影音播放程序VLC Media Player的主程序，伪装成Google应用程序的更新工具（googleupdate.exe），然后使用侧载的方式运行恶意程序加载工具，从而解密Coolclient，并注入winver.exe的处理进程运行。

另一个名为Quickheal的后门程序，则与名为Neeedleminer（或叫做RedFoxtrot、Nomad Panda）的中国黑客组织有关。对方使用的版本，是名为RasTls.dll的32比特文件，大致与资安业者Recorded Future在2021年公布后门程序的相同，主要差异是编译组态不同，并使用VMProtect进行代码混淆处理。

第3个后门程序Rainyday，过往曾有名为Firefly（Naikon）中国黑客组织使用。在这起攻击行动当中，黑客多半滥用杀毒软件F-Secure的主要组件fsstm.exe，以侧载的方式启动恶意程序加载工具，而该工具企图挟持可运行档使用的内存位置，借由该运行档加载特定文件，用来解开恶意酬载并以Shell Code的模式运行。

特别的是，虽然黑客滥用F-Secure杀毒软件的组件，但部分版本的恶意酬载，却是用卡巴斯基实验室的无效凭证签署。此外，研究人员也看到滥用其他应用程序运行档来进行寄生攻击（LOLBin）的情况。