拥有Charming Kitten、Mint Sandstorm等匿称的伊朗黑客组织APT35，自2014年出没以来，主要的攻击范围在中东及美国，针对能源、政府机关、科技服务单位下手，但在最近一起攻击行动里，这些黑客扩大了活动的范围而引起研究人员的注意。

威胁情报业者ThreatBook指出，他们发现APT35最新一波攻击，锁定航太及半导体产业而来，攻击范围横跨美国、泰国、阿拉伯联合酋长国（UAE）、以色列。黑客运用假造的征才网站及公司网站，并要求用户必须通过VPN存取为由，诱骗他们下载恶意程序并运行。过程中对方滥用合法云端服务，例如：OneDrive、Google Cloud、GitHub，从而隐匿行踪。

针对这起资安事故的发现，研究人员表示是发现专门针对航太产业的冒牌征才网站，该网站提供授权存取的应用程序，当中掺入了黑白两种恶意软件组件，主要的攻击目标，他们推测是泰国专精无人机设计的专家。经过一系列的分析，研究人员确认攻击者的身分就是APT35。

特别的是，这个征才网站为了引诱目标人士上当，，黑客不仅标记航太相关职缺的薪水远高于其他工作，还甚至制作授权存取应用程序的使用教学视频，企图降低受害者的戒心。

若是求职者依照指示下载黑客提供的文件，其中包含合法的OneDrive组件SignedConnection.exe，以及第一阶段、第二阶段的恶意程序secur32.dll、Qt5Core.dll。

其中的第一阶段恶意工具是以C#打造而成，主要的功能包含提供SignedConnection.exe的图形界面，并将前述提及的黑白恶意软件组件拷贝到电脑，并窜改注册表，让这些恶意软件随着电脑开机加载。

至于另一个恶意程序Qt5Core.dll，则是由secur32.dll改名后，再通过FileCoAuth.exe加载，并通过GitHub、Google Drive，取得C2服务器位址并创建通信。

研究人员后来看到另一个冒牌的半导体公司网站，黑客对于目标人士佯称有存取限制，必须安装VPN应用程序，然而一旦照做，电脑就会被植入前述的恶意酬载。