今年4月，苹果罕见对全球92个国家对用户发出佣兵间谍软件（Mercenary Spyware）攻击警告，他们向可能已遭到攻击的用户发出通知，当时资安业者BlackBerry表示，曾在2020年出没的iOS间谍软件LightSpy死灰复燃，黑客针对苹果电脑开发变种版本F_Warehouse，攻击者很有可能来自中国，如今他们揭露进一步的调查结果。

根据BlackBerry本周公布的报告指出，他们发现使用LightSpy的歹徒，与中国黑客组织APT41有高度关联，而且，这些黑客也针对Windows电脑打造名为DeepData Framework的恶意程序框架，进一步延伸他们的网络间谍活动。

针对这个恶意程序框架，黑客采用模块化设计，目前具备12款能窃取各式数据的插件程序，此外，该框架也强化跨平台监控能力，并使用复杂的命令与控制基础设施，使得攻击者从事间谍活动的行踪难以捉摸。

而对于监控受害者的规模，比起黑客先前使用的恶意软件，收集数据的深度及广度有了进一步的延伸。

针对用户通信进行监控的部分而言，攻击者能在未经授权的情况下，入侵WhatsApp、Telegram、Signal、微信（WeChat）等知名即时通信软件，再者，该框架也能监控Outlook的信件，以及中国云端服务业者阿里巴巴、字节跳动开发的企业协作平台钉钉（DingTalk）及飞书（Lark）。回顾过往LightSpy的作法，显示他们后来也开始监控电子邮件与协作平台，而这些都是未曾出现的活动模式。

值得一提的是，此恶意程序框架也具备窃资软件（Infostealer）相关功能，包含窃取浏览器帐密数据及上网记录、应用程序帐密、网络身份验证数据等，除此之外，攻击者也能从密码管理工具KeePass挖掘更多帐密数据。

除此之外，此恶意软件也具备挖掘系统信息的能力，以及网络组态，并能调查电脑安装那些软件，甚至还能进一步进行录音。

关于DeepData这款框架发现，研究人员是在调查LightSpy，以及APT41使用的安卓间谍软件的过程发现，他们在APT41的C2，找到名为deepdata.zip的文件，从而发现黑客也对Windows电脑开发网络间谍工具。

至于这些黑客攻击的目标，他们认为很有可能是东南亚参与政治活动的人士，以及记者。