Çin tərəfindən dəstəklənən hücumçuların məşhur hücumçuları, bir Asiya proqram və xidmətlər şirkətinə ransomware qurmaqda müstəqil şifri götürdülər. Symantec’in Təhlükə Avcısı Komandasının 2024-cü ilin axı vəziyyətini müşahidə etdiyi bir hesabatda, qrupun müxtəlif hallarda, adətən etdiyi kimi davrandığı qeyd olunur – yan yüklənməli zərərli DLL fayllarını (legitiim Toshiba icra olunan fayllar vasitəsilə) arxa qapılar düşdürmək və sürekliliyi təmin etmək üçün. Məqsəd, dövlət tərəfindən dəstəklənən hücumçular üçün adi olduğu kimi, kibernetik casusluqdur. Qurbanlar əsasən şərqi Avropa ölkələrinin xarici nazirliləri və buna bənzər dövlət orqanları idi. Amma sonra, 2024-cü ilin axı vəziyyətində, İmperator Yenidən Doğan eyni metodları sürekli təyin etmək və sonra Asiyalı bir proqram və xidmətlər şirkətində şəbəkəyə ransomware yükləmək üçün istifadə etdiyi müşahidə olundu. Qrup RA World ransomware variantından istifadə etdi və $ 2 milyon tələb etdi ($ üç gün ərzində 1 milyon ödənilsə).

Çin tərəfindən dəstəklənən dəhşətli hücumçular üçün, Symantec bunu son dərəcə adi görür. Şimal Koreya hücumçuları çox vaxt ransomware-ilə məşğul olurlar və çalınan pulu dövlət orqanlarını və silah proqramlarını maliyyələşdirmək üçün istifadə edirlər. Çinlilər isə daha çox kibernetik casusluğa marağ göstərir. Yəni, Symantec bu özünəməxsus hadisədə ransomware hücumunu, nəticədə böyük bir əməliyyatın izlərini gizlətmək üçün bir dəyirmi belə olduğunu şübhələnir. İlk hücum vektoru açıqlanmadı, lakin qırıcılar Palo Alto PAN-OS nəzarət panelində tanınmış bir coxluqdan faydalanmaq (CVE-2024-0012) bildirdilər. “Hücumçular sonra şirkətin intraneti vasitəsilə idarə prevezhesli kimliklərin alındığını deyilir və Amazon S3 bulud kimliklərini Veeam serverindən çalındıqdan sonra onlardan istifadə edərək S3 kovlarından məlumatları çalmaqdan əvvəl kompüterləri şifrələməkdən istifadə etdilər” araşdırmacılar izah etdilər. Son addım eyni DLL yan yüklənmə metodiyası idi.