中国黑客运用恶意软件框架Winos 4.0从事攻击行动的情况，今年已发生数起资安事故，例如：6月趋势科技揭露黑客组织Void Arachne的攻击行动，假借提供AI应用程序的名义，向简体中文用户散布这款恶意软件；到了11月初，另一家资安业者Fortinet指出，有人利用这款恶意程序框架，疑似锁定教育机构下手，如今相关的攻击行动再度传出。

资安业者Rapid7指出，他们在11月初发现了名为CleverSoar的恶意程序部署工具（Installer），攻击者的主要目标，是惯用简体中文与越南文的用户。黑客意图利用这款部署工具在受害电脑植入多种恶意程序，并保护这些软件的运作不受到干扰。

而这些对方使用的恶意程序，包含了Winos 4.0进阶版本，以及名为Nidhogg的Rootkit程序。攻击者能够用来侧录键盘输入内容、数据外泄、绕过安全防护措施，甚至能进一步控制受害电脑。究竟攻击者的目的为何？研究人员推测，主要很有可能是为了进行更深入的监控，并且截取特定的数据。

究竟攻击者的身分为何，目前仍不明朗，但研究人员提及，这些黑客很可能曾经散布木马程序ValleyRAT，并利用Winos 4.0攻击教育机构。

黑客最早可能在今年7月下旬打造CleverSoar，攻击者提供MSI安装程序，一旦受害者运行，电脑就会启动该恶意程序部署工具。

该部署工具首先会检查电脑的语言设置，确认是否为简体中文或越南文，若非这两种语言，此工具就会终止运作，这样的配置，也突显这是一起针对性的攻击行动。根据黑客散布的MSI安装程序文件名，研究人员推测，很有可能是假借游戏相关应用程序散布。

值得留意的是，黑客在植入各式恶意程序的过程里，CleverSoar还会停用受害电脑的杀毒软件，此外，为了避免于研究人员的虚拟机环境运作，攻击者还调用特定参数，运用SMBIOS固件表来确认是否在真实的电脑运行。

再者，攻击者也会利用特定的功能涵数，检查Microsoft Defender的模拟器状态，来确认运行的环境状态。

为了让恶意程序能正常运作，CleverSoar也运用特定的群组原则，防止第三方的DLL组件注入，这么做是针对杀毒软件和EDR系统的挂钩行为而来，使得这类系统无法于正在运行的处理进程当中，注入资安防护组件相关的DLL文件。