Sau khi xâm nhập thành công, kẻ tấn công tiến hành di chuyển ngang trong hệ thống và triển khai nhiều phiên bản của backdoor có tên AppleChris nhằm duy trì quyền truy cập lâu dài cũng như né tránh các cơ chế phát hiện dựa trên chữ ký. Trong quá trình hoạt động, chúng chủ động tìm kiếm các tài liệu liên quan đến biên bản họp chính thức, hoạt động quân sự chung và các đánh giá chi tiết về năng lực vận hành. Các nhà nghiên cứu nhận định tin tặc đặc biệt quan tâm đến những tài liệu liên quan đến hệ thống C4I – Command, Control, Communications, Computers and Intelligence, vốn đóng vai trò trung tâm trong việc điều hành và phối hợp tác chiến của lực lượng quân đội.
Các biến thể của AppleChris cùng với một backdoor khác có tên MemFun được thiết kế để truy cập vào một tài khoản chung trên Pastebin, nơi lưu trữ địa chỉ máy chủ điều khiển ở dạng mã hóa Base64. Cơ chế này biến Pastebin thành một “dead drop resolver”, cho phép mã độc truy xuất thông tin hạ tầng C2 một cách gián tiếp nhằm giảm khả năng bị phát hiện. Một số biến thể AppleChris còn có khả năng lấy địa chỉ C2 từ Dropbox, trong khi phương thức dựa trên Pastebin đóng vai trò dự phòng. Các bản ghi liên quan đến chiến dịch này trên Pastebin được xác định đã tồn tại từ tháng 9/2020.
AppleChris thường được khởi chạy thông qua kỹ thuật DLL hijacking và sau khi kết nối với máy chủ điều khiển, nó có thể thực thi nhiều lệnh từ xa như liệt kê ổ đĩa và thư mục, tải lên hoặc tải xuống tệp, xóa dữ liệu, liệt kê tiến trình hệ thống, thực thi shell từ xa cũng như khởi tạo các tiến trình ẩn. Một biến thể mới của công cụ này còn được bổ sung khả năng proxy mạng nâng cao, giúp che giấu lưu lượng và hỗ trợ duy trì kênh liên lạc ổn định giữa hệ thống bị xâm nhập và hạ tầng điều khiển. Theo phân tích của Unit 42, biến thể tunneler thứ hai được xem là phiên bản phát triển từ công cụ ban đầu khi chỉ sử dụng Pastebin để truy xuất địa chỉ máy chủ C2. Ngoài ra, một số biến thể malware trong chiến dịch còn tích hợp cơ chế né tránh sandbox bằng cách trì hoãn thực thi thông qua bộ hẹn giờ ngủ 30 giây đối với tệp EXE và 120 giây đối với DLL, qua đó giúp mã độc vượt qua các cửa sổ giám sát ngắn thường được các hệ thống phân tích tự động sử dụng.
Bên cạnh AppleChris, nhóm tấn công cũng triển khai một nền tảng backdoor khác có tên MemFun với kiến trúc nhiều giai đoạn. Chuỗi lây nhiễm bắt đầu bằng một loader ban đầu có nhiệm vụ nạp shellcode, từ đó kích hoạt một trình tải hoạt động hoàn toàn trong bộ nhớ. Thành phần này sẽ truy cập Pastebin để lấy thông tin cấu hình máy chủ C2, sau đó kết nối tới hạ tầng điều khiển và tải về một DLL dùng để khởi chạy backdoor. Do DLL được tải động trong quá trình thực thi, kẻ tấn công có thể dễ dàng thay đổi hoặc bổ sung payload mới mà không cần chỉnh sửa phần mềm độc hại ban đầu, biến MemFun trở thành một nền tảng malware dạng module thay vì một backdoor tĩnh.
Nhóm tấn công cũng sử dụng một phiên bản tùy chỉnh của công cụ nổi tiếng Mimikatz có tên Getpass để leo thang đặc quyền và trích xuất thông tin xác thực từ bộ nhớ của tiến trình lsass.exe. Công cụ này có khả năng thu thập mật khẩu dạng plaintext, NTLM hash cùng nhiều dữ liệu xác thực khác, từ đó giúp tin tặc mở rộng quyền kiểm soát trong hệ thống và tiếp tục di chuyển sang các máy khác trong mạng nội bộ.
Theo Unit 42, toàn bộ hoạt động cho thấy mức độ kiên nhẫn và kỷ luật vận hành cao, khi kẻ tấn công sẵn sàng duy trì quyền truy cập ẩn trong hệ thống nạn nhân suốt nhiều tháng, đồng thời tập trung vào việc thu thập thông tin tình báo có giá trị chiến lược thay vì thực hiện các hành vi phá hoại hoặc đánh cắp dữ liệu quy mô lớn. Các biện pháp che giấu hạ tầng điều khiển, cơ chế thực thi trì hoãn và kỹ thuật né tránh sandbox được triển khai đồng bộ nhằm kéo dài tuổi thọ chiến dịch và giảm thiểu nguy cơ bị phát hiện.
