专家详细介绍了在TA410集团旗下工作的3个黑客团队

据观察，一名网络间谍威胁行为人使用具有信息窃取功能的升级版远程访问特洛伊木马，以攻击非洲、中东和美国的各种关键基础设施部门而闻名。

使命感TA410斯洛伐克网络安全公司ESET评估称，由三支名为FlowingFrog、LookingFrog和JollyFrog的团队组成的伞形组织“这些小组在某种程度上是独立运作的，但他们可能有相同的情报要求，一支负责实施矛式网络钓鱼活动的访问团队，以及一支部署网络基础设施的团队。”

TA410—；据说与APT10（又名大熊猫或TA429）有行为和工具重叠&8212；有将美国公共事业部门的组织以及中东和非洲的外交实体作为目标的历史。

黑客集团的其他受害者包括日本的一家制造公司、印度的一家采矿企业和以色列的一家慈善机构，此外还有教育和军事领域的无名受害者。

2019年8月，Proofpoint首次记录了TA410，当时该威胁行为人发起了包含大量文件的钓鱼活动，用一种称为LookBack的模块化恶意软件危害美国各地的公用事业提供商。

将近一年后，该组织带着代号为FlowCloud的新后门返回，该后门也交付给了美国公用事业提供商，该证明点被描述为恶意软件，使攻击者能够完全控制受感染的系统。

"Its remote access trojan (RAT) functionality includes the ability to access installed applications, the keyboard, mouse, screen, files, services, and processes with the ability to exfiltrate information via command-and-control," the company noted in June 2020.

工业网络安全公司Dragos追踪了名为TALONITE的活动组织，指出该组织倾向于混合技术和战术，以确保成功入侵。

"TALONITE focuses on subverting and taking advantage of trust with phishing lures focusing on engineering-specific themes and concepts, malware that abuses otherwise legitimate binaries or modifies such binaries to include additional functionality, and a combination of owned and compromised network infrastructure," Dragos said in April 2021.

ESET对黑客的作案手法和工具集的调查揭示了新版FlowCloud，它能够使用计算机的麦克风录制音频，监视剪贴板事件，并控制连接的相机设备拍照。

具体而言，录音功能设计为当受损计算机附近的声级超过65分贝阈值时自动触发。

TA410还可以利用矛式网络钓鱼和易受攻击的面向互联网的应用程序（如Microsoft Exchange、SharePoint和SQL Server）获得初始访问权限。

ESET恶意软件研究人员Alexandre CôtéCyr说：“这向我们表明，他们的受害者是特定的目标，攻击者可以选择哪种进入方法最有可能渗透到目标。”。

据说TA410保护伞中的每个团队使用不同的工具集。虽然JollyFrog依赖于现成的恶意软件，如QuasarRAT和Korplug（又名PlugX），但LookingFrog使用X4（一种裸骨植入物）和LookBack。

相比之下，FlowingFrog使用名为Tendyron的下载器，该下载器通过Royal Road RTF武器化器交付，用于下载FlowCloud以及第二个后门，该后门基于Gh0stRAT（又名Farfli）。

ESET表示：“TA410是一个网络间谍保护伞，针对全球政府和大学等知名实体。”。“即使JollyFrog团队使用通用工具，FlowingFrog和LookingFrog也可以使用复杂的植入物，如FlowCloud和LookBack。”