APT27

APT27 (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥਰੇਟ) ਇੱਕ ਹੈਕਿੰਗ ਸਮੂਹ ਦਾ ਨਾਮ ਹੈ ਜੋ ਚੀਨ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ ਅਤੇ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਟੀਚਿਆਂ ਦਾ ਪਿੱਛਾ ਕਰਦਾ ਹੈ। ਏਪੀਟੀ27 ਨੂੰ ਕਈ ਹੋਰ ਉਪਨਾਮਾਂ ਨਾਲ ਵੀ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਐਮਿਸਰੀ ਪਾਂਡਾ, ਲੱਕੀਮਾਊਸ ਅਤੇ ਬ੍ਰੌਂਜ਼ਯੂਨੀਅਨ ਸ਼ਾਮਲ ਹਨ। APT27 ਦੁਆਰਾ ਚਲਾਈਆਂ ਗਈਆਂ ਸਭ ਤੋਂ ਮਸ਼ਹੂਰ ਮੁਹਿੰਮਾਂ ਵਿੱਚੋਂ ਸੰਯੁਕਤ ਰਾਜ ਦੇ ਰੱਖਿਆ ਠੇਕੇਦਾਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਉਹਨਾਂ ਦੇ ਹਮਲੇ ਹਨ। APT27 ਦੁਆਰਾ ਹੋਰ ਪ੍ਰਸਿੱਧ ਓਪਰੇਸ਼ਨਾਂ ਵਿੱਚ ਵਿੱਤੀ ਖੇਤਰ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੀਆਂ ਕਈ ਕੰਪਨੀਆਂ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਮੁਹਿੰਮ ਦੇ ਨਾਲ-ਨਾਲ ਮੱਧ ਏਸ਼ੀਆ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਡੇਟਾ ਸੈਂਟਰ ਦੇ ਵਿਰੁੱਧ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਹਮਲਾ ਸ਼ਾਮਲ ਹੈ। APT27 ਦੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਹੈਕਿੰਗ ਟੂਲਜ਼ ਵਿੱਚ ਧਮਕੀਆਂ ਸ਼ਾਮਲ ਹਨ ਜੋ ਉਹਨਾਂ ਨੂੰ ਖੋਜ ਕਾਰਜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ, ਸੰਕਰਮਿਤ ਹੋਸਟ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਫਾਈਲਾਂ ਇਕੱਠੀਆਂ ਕਰਨ ਜਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮ ਨੂੰ ਆਪਣੇ ਕਬਜ਼ੇ ਵਿੱਚ ਲੈਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ।

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਹਿਲੀ ਵਾਰ 2010 ਵਿੱਚ APT27 ਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਦੇਖਿਆ ਸੀ ਅਤੇ ਉਦੋਂ ਤੋਂ ਇਸ 'ਤੇ ਨੇੜਿਓਂ ਨਜ਼ਰ ਰੱਖ ਰਹੇ ਹਨ। ਕਿਉਂਕਿ ਉਹਨਾਂ ਨੂੰ ਪਹਿਲੀ ਵਾਰ ਦੇਖਿਆ ਗਿਆ ਸੀ, APT27 ਨੇ ਕਈ ਮੁੱਖ ਉਦਯੋਗਾਂ ਵਿੱਚ ਕੰਮ ਕਰਨ ਵਾਲੇ ਟੀਚਿਆਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ ਹੈ:

• ਸਰਕਾਰ.
• ਰੱਖਿਆ।
• ਤਕਨਾਲੋਜੀ.
• ਊਰਜਾ.
• ਨਿਰਮਾਣ.
• ਏਰੋਸਪੇਸ.

APT27 ਦੀ ਹੈਕਿੰਗ Arsenal ਵਿੱਚ ਸਭ ਵਰਤਿਆ ਸੰਦ ਵਿੱਚ ਹਨ Gh0st ਚੂਹਾ , ZXShell ਅਤੇ HyperBro . ਹਾਲਾਂਕਿ, APT27 ਦੇ ਸਾਈਬਰ ਕਰੂਕਸ ਸਿਰਫ਼ ਕਸਟਮ-ਬਿਲਟ ਹੈਕਿੰਗ ਟੂਲਸ 'ਤੇ ਭਰੋਸਾ ਨਹੀਂ ਕਰਦੇ ਹਨ। APT27, ਹੋਰ ਬਹੁਤ ਸਾਰੇ APTs ਵਾਂਗ, ਆਪਣੇ ਨਾਪਾਕ ਓਪਰੇਸ਼ਨਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਹੈਕਿੰਗ ਸਾਧਨਾਂ ਲਈ ਵੀ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

APT27 ਨੇ ਵੱਖ-ਵੱਖ ਕਾਰਨਾਂ ਕਰਕੇ ਕਈ ਟੀਚਿਆਂ 'ਤੇ ਹਮਲਾ ਕੀਤਾ ਹੈ, ਅਤਿ-ਆਧੁਨਿਕ ਤਕਨਾਲੋਜੀਆਂ 'ਤੇ ਡਾਟਾ ਚੋਰੀ ਕਰਨ ਤੋਂ ਲੈ ਕੇ ਨਾਗਰਿਕ ਸਮੂਹਾਂ ਅਤੇ ਸਰਕਾਰ ਲਈ ਅਸੰਤੁਸ਼ਟਾਂ 'ਤੇ ਜਾਸੂਸੀ ਕਰਨ ਤੱਕ।

ਐਮੀਸਰੀ ਪਾਂਡਾ ਆਸਾਨੀ ਨਾਲ ਉਪਲਬਧ ਸਾਧਨਾਂ ਜਿਵੇਂ ਕਿ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ, ਟੂਲ, ਅਤੇ ਟੀਚੇ ਲਈ ਮੂਲ ਸੇਵਾਵਾਂ, ਅਤੇ ਹਮਲਿਆਂ ਲਈ ਵਿਕਸਿਤ ਕੀਤੇ ਗਏ ਕਸਟਮ ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਗਰੁੱਪ ਲੰਬੇ ਸਮੇਂ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਮੌਜੂਦਗੀ ਨੂੰ ਕਾਇਮ ਰੱਖਣ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ।

ਸਮੂਹ ਨੂੰ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਿ ਉਹਨਾਂ ਕੋਲ ਅਜੇ ਵੀ ਪਹੁੰਚ ਹੈ, ਜੇਕਰ ਇਹ ਗੁੰਮ ਹੋ ਗਈ ਸੀ ਤਾਂ ਐਕਸੈਸ ਨੂੰ ਤਾਜ਼ਾ ਕਰਨ, ਅਤੇ ਹਮਲੇ ਲਈ ਦਿਲਚਸਪੀ ਦਾ ਹੋਰ ਡੇਟਾ ਲੱਭਣ ਲਈ ਲਗਭਗ ਹਰ ਤਿੰਨ ਮਹੀਨਿਆਂ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈਟਵਰਕਾਂ ਤੇ ਵਾਪਸ ਜਾਣ ਲਈ ਦੇਖਿਆ ਗਿਆ ਸੀ।

APT27 ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕੀ ਪੁਰਾਣਾ ਹੈ ਦੁਬਾਰਾ ਨਵਾਂ ਹੈ

ਪਿਛਲੇ ਸਾਲ, ਸਮੂਹ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ZxShell ਦੇ ਅਪਡੇਟ ਕੀਤੇ ਸੰਸਕਰਣਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਸੀ। ZxShell ਨੂੰ ਪਹਿਲੀ ਵਾਰ 2006 ਵਿੱਚ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਅਗਲੇ ਸਾਲ 2007 ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਗਏ ਪ੍ਰੋਗਰਾਮ ਲਈ ਸਰੋਤ ਕੋਡ ਦੇ ਨਾਲ। ਮਾਲਵੇਅਰ ਵਿੱਚ HTran ਪੈਕੇਟ ਰੀਡਾਇਰੈਕਸ਼ਨ ਬਿਲਟ-ਇਨ ਹੈ ਅਤੇ ਇਸ ਨੂੰ ਹਾਂਗਜ਼ੂ ਸ਼ੁਨਵਾਂਗ ਟੈਕਨਾਲੋਜੀ ਕੰਪਨੀ ਨਾਲ ਸਬੰਧਤ ਇੱਕ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟ ਨਾਲ ਹਸਤਾਖਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਨਾਲ ਹੀ ਇੱਕ ਸ਼ੰਘਾਈ Hintsoft Co., Ltd ਲਈ ਡਿਜੀਟਲ ਸਰਟੀਫਿਕੇਟ

2018 ਵਿੱਚ ਤੈਨਾਤ ਕੀਤੇ ਗਏ Gh0st RAT ਦੇ ਸੰਸ਼ੋਧਿਤ ਸੰਸਕਰਣ ਦੇ ਪਿੱਛੇ APT27 ਵੀ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸੀ। ਅਸਲੀ Gh0st RAT ਲਈ ਸਰੋਤ ਕੋਡ ਔਨਲਾਈਨ ਵੀ ਉਪਲਬਧ ਹੈ। ਅੱਪਡੇਟ ਕੀਤਾ ਸੰਸਕਰਣ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈੱਟਵਰਕ ਵਿੱਚ ਕਈ ਸਿਸਟਮਾਂ ਦੇ ਵਿਰੁੱਧ ਵਰਤਿਆ ਗਿਆ ਸੀ। ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਦੇਖਿਆ ਗਿਆ ਨਮੂਨਾ ਇੱਕ ਕਸਟਮ ਬਾਈਨਰੀ ਪ੍ਰੋਟੋਕੋਲ ਦੁਆਰਾ TCP ਪੋਰਟ 443 'ਤੇ ਸੰਚਾਰ ਕਰਦਾ ਹੈ, ਨੈਟਵਰਕ ਟ੍ਰੈਫਿਕ ਸੰਚਾਰ ਨੂੰ ਬਿਹਤਰ ਲੁਕਾਉਣ ਲਈ ਸੋਧੇ ਹੋਏ ਸਿਰਲੇਖਾਂ ਦੇ ਨਾਲ।

ਔਨਲਾਈਨ ਲੱਭੇ ਗਏ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਨਾਲ ਸੰਤੁਸ਼ਟ ਨਹੀਂ, APT27 ਨੇ ਮਲਕੀਅਤ ਵਾਲੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟੂਲਸ ਦੀ ਆਪਣੀ ਰੇਂਜ ਨੂੰ ਵੀ ਵਿਕਸਿਤ ਕੀਤਾ ਹੈ ਅਤੇ ਕੰਮ ਕੀਤਾ ਹੈ। ਇਹ ਟੂਲ, ਜਿਵੇਂ ਕਿ HyperBro ਅਤੇ SysUpdate, 2016 ਤੋਂ ਦੌਰ ਬਣਾ ਰਹੇ ਹਨ।

SysUpdate ਇੱਕ ਕਿਸਮ ਦਾ ਮਲਟੀ-ਸਟੇਜ ਮਾਲਵੇਅਰ ਹੈ ਅਤੇ ਸਿਰਫ਼ Emissary Panda ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਕਈ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਡਾਇਨਾਮਿਕ ਡੇਟਾ ਐਕਸਚੇਂਜ (DDE) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਖਤਰਨਾਕ ਵਰਡ ਦਸਤਾਵੇਜ਼, ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਰਾਹੀਂ ਮੈਨੂਅਲ ਤੈਨਾਤੀ, ਅਤੇ ਵੈੱਬ ਰੀਡਾਇਰੈਕਟਸ, ਅਤੇ ਰਣਨੀਤਕ ਵੈੱਬ ਸਮਝੌਤਾ (SWC)।

APT27 ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ ਅਤੇ ਫੈਲਾਅ

ਤੈਨਾਤੀ ਨਾਲ ਕੋਈ ਫਰਕ ਨਹੀਂ ਪੈਂਦਾ, ਪਹਿਲਾ ਪੇਲੋਡ ਇੱਕ ਸਵੈ-ਐਕਸਟਰੈਕਟਿੰਗ (SFX) WinRAR ਫਾਈਲ ਦੁਆਰਾ ਸਥਾਪਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ SysUpdate ਲਈ ਪਹਿਲੇ ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਸਥਾਪਿਤ ਕਰਦਾ ਹੈ। ਪਹਿਲਾ ਪੜਾਅ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਮਸ਼ੀਨ 'ਤੇ ਸਥਿਰਤਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨੂੰ SysUpdate Main ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ HTTP ਉੱਤੇ ਸੰਚਾਰ ਕਰਦਾ ਹੈ ਅਤੇ svchost.exe ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਨ ਲਈ ਕੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਦਾ ਹੈ।

SysUpdate ਮੇਨ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰਿਮੋਟ ਐਕਸੈਸ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਸ਼੍ਰੇਣੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। RAT ਹੈਕਰਾਂ ਨੂੰ ਮਸ਼ੀਨ 'ਤੇ ਫਾਈਲਾਂ ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਤੱਕ ਪਹੁੰਚ ਅਤੇ ਪ੍ਰਬੰਧਨ ਕਰਨ, ਵੱਖ-ਵੱਖ ਸੇਵਾਵਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ, ਕਮਾਂਡ ਸ਼ੈੱਲ ਲਾਂਚ ਕਰਨ, ਸਕ੍ਰੀਨਸ਼ਾਟ ਲੈਣ, ਅਤੇ ਲੋੜ ਅਨੁਸਾਰ ਹੋਰ ਮਾਲਵੇਅਰ ਨੂੰ ਅੱਪਲੋਡ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ।

SysUpdate ਇੱਕ ਕਮਾਲ ਦਾ ਲਚਕੀਲਾ ਮਾਲਵੇਅਰ ਹੈ ਜਿਸਨੂੰ ਹੋਰ ਪੇਲੋਡ ਫਾਈਲਾਂ ਰਾਹੀਂ ਲੋੜ ਅਨੁਸਾਰ ਫੈਲਾਇਆ ਜਾਂ ਘਟਾਇਆ ਜਾ ਸਕਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੇ ਅਨੁਸਾਰ, ਵਾਇਰਸ ਦੀ ਮੌਜੂਦਗੀ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਨਿਯੰਤਰਿਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈਕਰਾਂ ਨੂੰ ਆਪਣੀ ਪੂਰੀ ਸਮਰੱਥਾ ਨੂੰ ਛੁਪਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰ ਇੱਕ ਵਧੀਆ ਘੁਸਪੈਠ ਦੇ ਦੌਰਾਨ ਆਪਣੇ ਮਲਕੀਅਤ ਵਾਲੇ ਸਾਧਨਾਂ ਦਾ ਲਾਭ ਉਠਾ ਸਕਦੇ ਹਨ। ਇਹ ਸਾਧਨ ਉਹਨਾਂ ਨੂੰ ਖੋਜ ਦੇ ਘੱਟ ਜੋਖਮ 'ਤੇ ਵਧੇਰੇ ਨਿਯੰਤਰਣ ਦਿੰਦੇ ਹਨ। ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ ਸਾਧਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਨੈਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦੇ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਉਹ ਸਿਸਟਮ 'ਤੇ ਹੁੰਦੇ ਹਨ, ਤਾਂ ਉਹ ਸੁਰੱਖਿਆ ਨਿਯੰਤਰਣਾਂ ਨੂੰ ਰੋਕ ਸਕਦੇ ਹਨ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਅਤੇ ਅਨੁਮਤੀਆਂ ਦੇ ਵਧੇਰੇ ਮਹੱਤਵਪੂਰਨ ਸਮੂਹ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਨ, ਅਤੇ ਲੰਬੇ ਸਮੇਂ ਵਿੱਚ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਸਿਸਟਮਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖ ਸਕਦੇ ਹਨ। APT27 ਟੀਚੇ ਵਾਲੇ ਨੈੱਟਵਰਕ 'ਤੇ ਜਿੰਨਾ ਜ਼ਿਆਦਾ ਸਮਾਂ ਖਰਚ ਕਰਦਾ ਹੈ, ਓਨਾ ਹੀ ਜ਼ਿਆਦਾ ਸੰਭਾਵੀ ਨੁਕਸਾਨ ਇਹ ਕਰ ਸਕਦਾ ਹੈ। ਸਭ ਤੋਂ ਮਾੜੀ ਸਥਿਤੀ ਵਿੱਚ, ਗਰੁੱਪ ਦੀ ਕਈ ਸਾਲਾਂ ਤੱਕ ਇੱਕ ਸਿਸਟਮ 'ਤੇ ਮੌਜੂਦਗੀ ਹੋ ਸਕਦੀ ਹੈ, ਬਹੁਤ ਸਾਰੀ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਹਰ ਕਿਸਮ ਦੇ ਨੁਕਸਾਨ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀ ਹੈ।

APT27 ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤੇ ਗਏ ਵਧੇਰੇ ਪ੍ਰਸਿੱਧ ਕਸਟਮ-ਬਣੇ ਹੈਕਿੰਗ ਟੂਲ ਵਿੱਚੋਂ ਇੱਕ ਹੈ SysUpdate ਧਮਕੀ। ਇਹ ਇੱਕ RAT (ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ) ਹੈ ਜੋ APT27 ਜਾਅਲੀ ਸਪੈਮ ਈਮੇਲਾਂ ਅਤੇ ਸਪਲਾਈ-ਚੇਨ ਹਮਲਿਆਂ ਰਾਹੀਂ ਪ੍ਰਚਾਰ ਕਰਦਾ ਪ੍ਰਤੀਤ ਹੁੰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਮਾਹਿਰਾਂ ਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਸਾਈਬਰ ਕਰੌਕਸ ਵੀ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਮੇਜ਼ਬਾਨਾਂ 'ਤੇ ਹੱਥੀਂ SysUpdate RAT ਸਥਾਪਤ ਕਰ ਸਕਦੇ ਹਨ, ਬਸ਼ਰਤੇ ਕਿ ਉਨ੍ਹਾਂ ਨੇ ਪਹਿਲਾਂ ਘੁਸਪੈਠ ਕੀਤੀ ਹੋਵੇ। ਇਸ ਖਾਸ RAT ਦੀ ਇੱਕ ਮਾਡਯੂਲਰ ਬਣਤਰ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ APT27 ਸਮਝੌਤਾ ਕੀਤੇ ਕੰਪਿਊਟਰ 'ਤੇ ਧਮਕੀ ਦੀ ਇੱਕ ਮੂਲ ਕਾਪੀ ਲਗਾ ਸਕਦਾ ਹੈ, ਅਤੇ ਫਿਰ ਇਸ ਵਿੱਚ ਹੋਰ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਸ਼ਾਮਲ ਕਰ ਸਕਦਾ ਹੈ, RAT ਨੂੰ ਹੋਰ ਹਥਿਆਰ ਬਣਾ ਸਕਦਾ ਹੈ।

APT27 ਇੱਕ ਬਹੁਤ ਹੀ ਲਚਕੀਲਾ ਹੈਕਿੰਗ ਸਮੂਹ ਜਾਪਦਾ ਹੈ - ਉਹਨਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਪ੍ਰਸਾਰ ਦੇ ਤਰੀਕਿਆਂ ਅਤੇ ਉਹਨਾਂ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤੇ ਗਏ ਸਾਧਨਾਂ ਦੀ ਵਿਸ਼ਾਲ ਕਿਸਮ ਦੇ ਸਬੰਧ ਵਿੱਚ। ਇਹ APT27 ਨੂੰ ਸਾਈਬਰ ਬਦਮਾਸ਼ਾਂ ਦਾ ਇੱਕ ਖਤਰਨਾਕ ਸਮੂਹ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਘੱਟ ਨਹੀਂ ਸਮਝਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।