2020年以来，一个网络间谍组织一直以亚洲各地的部门机构和知名企业为目标，利用微软Exchange的ProxyShell漏洞获得初始访问权限。

根据ESET的说法，被称为Worok的成员可能与TA428有关，ta 428被认为是一个类似的组织。

2021年初，在ProxyShell(CVE-2021-34523)的漏洞被揭露后，网络安全软件厂商的威胁情报研究人员看到了一系列高级持续威胁(APT)团体的活动，其中一个与TA428有一些相似之处，如共同的活动时间、目标的垂直方向以及利用ShadowPad进行的许多间谍活动中使用的后门。

但是，该组织使用的其他工具与TA428使用的工具不同。

ESET的恶意软件研究员Thibaut Passilly在周二的一份报告中写道:“我们认为这些联系不足以将Worok视为与TA428相同的群体，但这两个群体可能共享工具，有共同的兴趣。”。”我们决定创建一个集群，并将其命名为工作.”

研究人员随后通过使用同一工具的变体，将其他攻击与Worok联系起来，并得出结论，该组织自2020年底以来一直存在，并且仍然活跃。

Worok的工具集包括C++加载器CLRLoad；PowHeartBeat，PowerShell后门；还有PNGLoad，一个C#。NET loader，它使用隐写术(将一个消息隐藏在另一个消息中)从PNG文件中提取隐藏的恶意负载。[阅读原文]