過往駭客主要針對Windows電腦下手，但最近兩到三年，他們將攻擊範圍擴及其他作業系統的情況越來越普遍，有駭客組織使用跨平臺開發工具，打造出針對macOS、安卓作業系統的惡意程式。

例如，資安業者賽門鐵克揭露中國駭客組織Evasive Panda（他們稱為Daggerfly）開發的macOS惡意程式，就是這樣的例子。他們針對最近一波的攻擊行動提出警告，指出對方近期針對臺灣企業組織、位於中國的美國非政府組織（NGO）使用新的作案工具從事網路間諜活動，過程中利用Apache HTTP伺服器的漏洞散布惡意軟體框架MgBot。

研究人員指出，這些駭客擅長使用MgBot框架，並持續加入新功能，他們在去年看到駭客在攻擊非洲電信業者的過程裡，採用新的外掛程式來增加危害。

但值得留意的是，他們發現名為Macma的macOS後門程式，也是這些駭客開發、使用的武器之一。這個後門程式最早在2021年由Google威脅情報團隊（TAG）揭露，並推測駭客2019年就開始使用，並濫用遭駭的香港網站發動水坑式攻擊，來散布這支後門程式。

其中，研究人員提及駭客在水坑式攻擊利用的弱點，不光影響Mac電腦，也會影響iOS裝置，其中一個被利用的是權限提升漏洞CVE-2021-30869（CVSS風險評分為7.5），一旦Mac電腦尚未修補這項漏洞，對方就有機會藉此植入後門程式。

基本上，Macma也是模組化的惡意程式，主要的功能收集裝置指紋資料、執行命令、截取螢幕畫面、側錄鍵盤輸入內容、截取電腦聲音，並能讓攻擊者上傳或下載檔案。但研究人員在最新的版本當中發現，駭客加入了多項調整與改進，這突顯對該惡意程式極積開發的情形。

他們找到兩個新版的Macma進行研究、分析，並指出駭客採用Tree（可公開取得的Linux、Unix公用程式）為基礎開發新程式碼，調整收集檔案系統列表的邏輯；再者，則是改良AudioRecorderHelper功能的程式碼，並加入新的功能參數及除錯事件記錄。此外，對方也加入名為param2.ini的檔案，設置截取螢幕畫面的相關參數。

究竟如何察覺這支惡意程式與Evasive Panda有關？研究人員在分析的過程中發現，這些後門程式竟然連線到IP位址是103.243.212[.]98的C2伺服器，而其中一款MgBot惡意程式載入工具也使用該伺服器進行通訊。

經過程式碼的比對，他們發現Macma與MgBot及其他該組織使用的惡意程式，共用相同的程式庫或框架開發而成。駭客使用這些程式庫及相關元件，跨平臺開發Windows、macOS、Linux、安卓版惡意程式。

他們舉出資安業者ESET今年3月揭露的Windows後門程式Nightdoor（也稱做NetMM、Suzafk）為例，研究人員確認這款惡意程式也是使用該駭客組織專屬的程式庫打造，這是多階段後門程式，能夠使用TCP協定或是透過OneDrive進行C2通訊。對方利用名為DAEMON Tools Lite Helper的虛擬光碟軟體公用程式將其載入，啟動過程濫用al-khaser專案的程式碼來檢測是否在虛擬機器或沙箱環境執行。

除了Nightdoor，研究人員也找到駭客針對其他作業系統的開發惡意程式的證據，並指出對方開發了安卓裝置應用程式的惡意安裝檔、簡訊攔截工具、DNS請求攔截工具，還有鎖定Solaris作業系統的惡意程式