FireEye a aisni identifié des opérations conduites depuis Chine, la Russie ou la Corée du Nord.

En chine par exemple

Fin février et début mars 2020, TEMP.Hex a probablement exploité le thème du coronavirus pour déployer les malwares SOGU et COBALTSTRIKE. FireEye suspecte que le document a été utilisé contre des cibles au Vietnam, aux Philippines et à Taiwan.

• Les leurres étaient des déclarations légitimes émanant de leaders politiques ou des conseils authentiques destinés aux malades potentiels, probablement issus de sources publiques.
• TEMP.Hex est un groupe chinois qui cible les pays d’Extrême Orient depuis 2010. Un cluster chinois séparé a ciblé la Mongolie avec un leurre coronavirus utilisant POISONIVY, un ‘backdoor’ populaire largement disponible sur le Dark Web.
• Ce document contenait des statistiques officielles sur les infections en Mongolie.
• L’activité historique de ce cluster se concentre sur le gouvernement mongol et sur la récolte d’informations