攻撃者は、正当なクラウド コンピューティング サービスを活用してマルウェアを管理し、侵入検知システムを回避すべく複雑な多段階の攻撃パイプラインを展開します。これにより、悪意のある人物は被害者のネットワーク システムにマルウェアを拡散し、リモート コントロール ツールをインストールし、デバイスを制御し、機密情報を盗んだり削除したりすることができます。

この攻撃は、台湾、マレーシア、中国、日本、タイ、香港、韓国、シンガポール、フィリピン、ベトナムなど、アジア太平洋（APAC）地域の複数の国と地域の政府機関と重工業組織を標的としました。ハッカーは、悪意のあるコードを含む圧縮ファイルを税金関連の文書に偽装し、電子メールやWeChat、Telegramなどのメッセージングアプリでのフィッシングキャンペーンを通じて拡散します。システム上での複雑な多層マルウェアインストールプロセスの後、サイバー犯罪者は FatalRAT と呼ばれるバックドアのインストールに進みます。

ただし、このキャンペーンは、Gh0st RAT、SimayRAT、Zegost、FatalRAT などのオープンソースのリモート アクセス マルウェア (RAT) を使用した以前の攻撃といくつかの類似点があります。専門家は、戦術、技術、作戦方法に大きな変化が見られ、そのすべてが中国語圏の組織や機関を標的とするように調整されていると見ている。

この攻撃は、コンテンツ配信ネットワーク（CDN）のmyqcloudとホスティングサービスのYoudao Cloud Notesという2つの中国の合法的なクラウドコンピューティングプラットフォームを通じて実行されました。ハッカーは、検出と予防を回避するために、制御サーバーとマルウェアのペイロードを継続的に変更して追跡される可能性を減らす、セキュリティ システムを「バイパス」するために正規の Web サイトにマルウェアを保存する、正規のソフトウェアの脆弱性を悪用して攻撃を展開する、ソフトウェアの正規の機能を利用してマルウェアをアクティブにする、ファイルとネットワーク トラフィックを暗号化して異常なアクティビティを隠すなど、さまざまな手法を使用しています。

カスペルスキー社は、この攻撃を「SalmonSlalom」と名付け、サイバー犯罪者が洗練された戦術と絶えず変化する手法でネットワーク防御を巧みに回避する様子を表現した。これは、障害を乗り越えるために忍耐力と創意工夫を必要とする急速で困難な旅路を泳ぐサケに似ている。

「サイバー犯罪者は、運用技術 (OT) 環境であっても、比較的単純な手法を使って目的を達成します」と、カスペルスキー ICS CERT の責任者であるエフゲニー・ゴンチャロフは述べています。「今回の攻撃は、アジア太平洋地域の重工業組織に対して、悪意のある攻撃者がリモートから OT システムに侵入する能力を持っていることを警告するものです。組織は、これらの脅威に対する認識を高め、防御を強化し、サイバー攻撃から資産とデータを保護するために積極的に対応する必要があります。」