Ta informacja, szczegółowo opisana w opublikowanym w czwartek raporcie, mówi, że pakiet oprogramowania o nazwie Intelligent Tax i wyprodukowany przez Pekin Aisino Corporation działał jako reklama. W tle został zainstalowany również osobny program, który potajemnie pozwalał twórcom na zdalne wykonywanie poleceń lub oprogramowania na zainfekowanym komputerze. Został również podpisany cyfrowo przez zaufany certyfikat systemu Windows.
Naukowcy z Trustwave, firmy ochroniarskiej, która dokonała odkrycia, nazwali go backdoor GoldenSpy. Posiadając uprawnienia administratora do komputera z systemem Windows, łączył się on z serwerem kontrolnym znajdującym się na ningzhidata.com, domenie, która według badaczy Trustwave jest hostem innych odmian złośliwego oprogramowania. Backdoor zawierał szereg zaawansowanych funkcji zaprojektowanych w celu uzyskania głębokiego, tajnego i stałego dostępu do zainfekowanych komputerów.

Według czwartkowego postu funkcje te obejmują:

  • GoldenSpy instaluje dwie identyczne wersje siebie, obie jako trwałe usługi autostartu. Jeśli którykolwiek z nich przestanie działać, odrodzi się jego odpowiednik. Ponadto wykorzystuje moduł ochrony exe, który monitoruje usunięcie jednej z nich. Jeśli zostanie usunięty, pobierze i uruchomi nową wersję. W rzeczywistości ta trójwarstwowa ochrona bardzo utrudnia usunięcie tego pliku z zainfekowanego systemu.
  • Funkcja odinstalowania oprogramowania Intelligent Tax nie odinstaluje GoldenSpy. Pozostawia GoldenSpy działającą jako otwarty backdoor - wejście do środowiska, nawet po całkowitym usunięciu oprogramowania podatkowego.
  • GoldenSpy nie jest pobierany i instalowany or razu po instalacji oprogramowania podatkowego, odczekuje 2 godziny od zakończenia procesu instalacji i zaczyna pobieranie. Pobiera się i instaluje, robi to po cichu, bez powiadomienia w systemie. To duże opóźnienie jest bardzo nietypowe i stanowi sposób na ukrycie przed zawiadomieniem ofiary.
  • GoldenSpy nie kontaktuje się z infrastrukturą sieciową oprogramowania podatkowego (i-xinnuo.com), raczej dociera do ningzhidata.com, domeny znanej z hostowania innych odmian złośliwego oprogramowania GoldenSpy. Po pierwszych trzech próbach skontaktowania się z serwerem głównymi losuje czasy nawigacyjne. Jest to znana metoda unikania technologii bezpieczeństwa sieci zaprojektowanych w celu identyfikowania złośliwego oprogramowania nawigacyjnego.
  • GoldenSpy działa z uprawnieniami na poziomie SYSTEMU, co czyni go bardzo niebezpiecznym i może uruchamiać dowolne oprogramowanie w systemie. Obejmuje to dodatkowe złośliwe oprogramowanie lub narzędzia zarządzania systemem Windows do przeprowadzania rozpoznawania, tworzenia nowych użytkowników, zwiększania uprawnień itp.
W czwartkowym poście stwierdzono, że analitycy zagrożeń Trustwave zidentyfikowali "podobną działalność" w drugiej firmie, ale nie mają wielu szczegółów. Firma ochroniarska znalazła różne wersje GoldenSpy, które pochodzą z końca 2016 roku, ale pierwszą wskazówką, że backdoor był faktycznie używany, jest kwiecień, kiedy rozpoczęła się kampania przeciwko firmie technologicznej. Naukowcy wciąż nie znają zasięgu, celu ani ludzi stojących za tym zagrożeniem. Trustwave nie zidentyfikował dwóch firm, które spotkały się z GoldenSpy lub lokalnym chińskim bankiem, które wymagały zainstalowania oprogramowania Intelligent Tax. Przedstawiciele Aisino Corporation nie odnieśli się na e-mail z prośbą o komentarz do tego postu.