Người ta đã quan sát thấy một chiến dịch gián điệp mạng kéo dài nhiều năm do nhà nước Trung Quốc tài trợ nhắm vào các tổ chức học thuật, chính trị và chính phủ Hàn Quốc.
Nhóm Insikt của Recorded Future, đang theo dõi hoạt động với biệt danh TAG-74, cho biết kẻ thù có liên quan đến "tình báo quân sự Trung Quốc và gây ra mối đe dọa đáng kể cho các tổ chức học thuật, hàng không vũ trụ và quốc phòng, chính phủ, quân sự và chính trị ở Hàn Quốc." , Nhật Bản và Nga."
Công ty an ninh mạng này mô tả việc nhắm mục tiêu vào các tổ chức học thuật của Hàn Quốc là phù hợp với những nỗ lực rộng lớn hơn của Trung Quốc nhằm thực hiện hành vi trộm cắp tài sản trí tuệ và mở rộng ảnh hưởng của nước này, chưa kể được thúc đẩy bởi mối quan hệ chiến lược của nước này với Mỹ.
Các cuộc tấn công kỹ thuật xã hội do kẻ thù thực hiện sử dụng các mồi nhử tệp Trợ giúp HTML Biên dịch (CHM) của Microsoft để thả một biến thể tùy chỉnh của cửa hậu Visual Basic Script mã nguồn mở có tên là ReVBShell, sau đó dùng để triển khai trojan truy cập từ xa Bisonal.
ReVBShell được cấu hình để ngủ trong một khoảng thời gian xác định thông qua lệnh được đưa ra từ máy chủ từ xa có thể chỉnh sửa khoảng thời gian. Nó cũng sử dụng mã hóa Base64 để che giấu lưu lượng lệnh và kiểm soát (C2).
Việc sử dụng ReVBShell đã được liên kết với hai cụm liên kết khác của Trung Quốc được gọi là Tick và Tonto Team , sau đó được cho là do một chuỗi lây nhiễm giống hệt bởi Trung tâm ứng phó khẩn cấp an ninh AhnLab (ASEC) vào tháng 4 năm 2023.
Bisonal là một trojan đa chức năng có thể thu thập thông tin về quy trình và tệp, thực thi lệnh và tệp, chấm dứt quy trình, tải xuống và tải lên tệp cũng như xóa các tệp tùy ý trên đĩa.
TAG-74 được cho là có liên quan chặt chẽ với Tick, một lần nữa nêu bật việc chia sẻ công cụ phổ biến giữa các nhóm đe dọa Trung Quốc.
Recorded Future cho biết: “Chiến dịch TAG-74 được quan sát là dấu hiệu cho thấy mục tiêu thu thập thông tin tình báo dài hạn của nhóm chống lại các mục tiêu Hàn Quốc”.
"Với sự tập trung liên tục của nhóm vào các tổ chức Hàn Quốc trong nhiều năm và khả năng hoạt động của Bộ Tư lệnh Chiến khu phía Bắc, nhóm này có thể sẽ tiếp tục hoạt động tích cực trong việc tiến hành thu thập thông tin tình báo dài hạn về các mục tiêu chiến lược ở Hàn Quốc." như ở Nhật Bản và Nga."