攻撃者は、正当なクラウド コンピューティング サービスを活用してマルウェアを管理し、複雑な多段階の攻撃パイプラインを展開して侵入検知システムを回避します。これにより、悪意のある人物は被害者のネットワーク システムにマルウェアを拡散したり、リモート コントロール ツールをインストールしたり、デバイスを制御したり、機密情報を盗んだり削除したりすることができます。

この攻撃は、台湾、マレーシア、中国、日本、タイ、香港、韓国、シンガポール、フィリピン、ベトナムを含むアジア太平洋（APAC）地域の複数の国と地域の政府機関と重工業組織を標的としました。ハッカーは、税務関連文書を装った悪意のあるコードを含む圧縮ファイルを使用し、電子メールやWeChat、Telegramなどのメッセージングアプリでのフィッシングキャンペーンを通じてそれを拡散します。システム上での複雑な多層マルウェアインストールプロセスの後、サイバー犯罪者は FatalRAT と呼ばれるバックドアのインストールに進みます。

ただし、このキャンペーンは、Gh0st RAT、SimayRAT、Zegost、FatalRAT などのオープンソースのリモート アクセス マルウェア (RAT) を使用した以前の攻撃といくつかの類似点があります。専門家は、戦術、技術、作戦方法に大きな変化が見られ、そのすべてが中国語圏の組織や機関を標的とするように調整されていると見ている。

この攻撃は、コンテンツ配信ネットワーク（CDN）のmyqcloudとホスティングサービスのYoudao Cloud Notesという、2つの中国の正規のクラウドコンピューティングプラットフォームを通じて実行されました。ハッカーは、検出と予防を回避するために、制御サーバーとマルウェアのペイロードを継続的に変更して追跡される可能性を減らす、セキュリティ システムを「バイパス」するために正規の Web サイトにマルウェアを保存する、正規のソフトウェアの脆弱性を悪用して攻撃を展開する、ソフトウェアの正規の機能を利用してマルウェアをアクティブにする、ファイルとネットワーク トラフィックを暗号化して異常なアクティビティを隠すなど、さまざまな手法を使用しています。

カスペルスキー社は、この攻撃キャンペーンを「SalmonSlalom」と名付け、高度な戦術と絶えず変化する手法でサイバー犯罪者がネットワーク防御を巧みに回避する様子を表現した。これは、障害を克服するために忍耐力と創意工夫を必要とする急速で困難な旅路を泳ぐサケに似ている。

「サイバー犯罪者は、運用技術（OT）環境であっても、比較的単純な手法を使って目的を達成します」と、カスペルスキーICS CERTの責任者であるエフゲニー・ゴンチャロフ氏は述べています。このキャンペーンは、アジア太平洋地域の重工業組織に対し、悪意のある攻撃者が遠隔からOTシステムに侵入する能力を持っていることを警告するものです。組織はこれらの脅威への意識を高め、防御を強化し、サイバー攻撃から資産とデータを守るために積極的に対応する必要があります。