Дослідники безпеки з компанії Palo Alto Networks опублікували звіт про діяльність хакерського угруповання, імовірно пов'язаної з китайським урядом. Як випливає з доповіді, угруповання поширює нове шкідливе ПЗ Reaver за допомогою шкідливих файлів CPL (Command Panel files, файли панелі управління).

За словами дослідників, даний метод завантаження досить незвичайний і використовується всього 0,006% шкідливого ПО. Пік популярності методу припав на 2013-2014 роки в Бразилії, де кіберзлочинці використовували його для поширення банківських троянів.

Reaver експлуатує уразливість в утиліті панелі управління Windows (control. exe). Перша версія шкідливого ПО використовувала HTTP для зв'язку з сервером, в нових версіях Reaver зловмисники перейшли на протокол TCP.

Опинившись на системі, Reaver збирає різну інформацію про систему, зокрема дані про продуктивність процесора, імені комп'ютера, імені користувача, IP-адресу, відомості про пам'ять пристрою і версії Windows. Шкідливе ПО також здатне читати і записувати файли, змінювати файли реєстру, створювати і завершувати процеси, а також модифікувати служби.

Дослідники пов'язують Reaver з шкідливим ПЗ SunOrcal, що використовувалися хакерами, імовірно базуються в Китаї, в атаках на президентські вибори в Тайвані в січні 2016 року.

Як відзначили дослідники, угруповання, відповідальна за атаки SunOrcal, також використовує троян для віддаленого доступу SurTR, пов'язаний з генераторами шкідливих документів HomeKit і Four Element Sword. Угруповання діє щонайменше з 2013 року, проте деякі дані свідчать про її активності вже в 2010 році.

Reaver використовується хакерами з кінця 2016 року поряд з SunOrcal. Обидва різновиди шкідливого ПО застосовувалися в кібератаки в листопаді 2017 року, проте фахівці не мають точних відомостей про цілі хакерів.