上個月日本電腦緊急應變團隊暨協調中心（JPCERT/CC）揭露攻擊行動MirrorFace的最新態勢，當中提及駭客鎖定當地製造業、研究機構發動攻擊，企圖在這些企業組織植入後門程式NoopDoor，如今有資安業者公布與這支惡意程式有關的細節。

根據資安業者Cyber​​eason的調查，中國駭客組織APT10使用LodeInfo與NoopDoor兩款惡意程式，鎖定日本企業組織發起名為Cuckoo Spear的攻擊行動，而能在受害組織的網路環境活動長達2至3年。他們提及這項攻擊行動與駭客組織Earth Kasha，以及另一起攻擊行動MirrorFace有所關連，因為這三個行動所用的武器有個共通點，那就是APT10慣用的惡意程式LodeInfo。

研究人員提到，駭客在使用NoopDoor的攻擊行動，同時運用後門程式LodeInfo，然後使用新的後門程式竊取受害組織資料。他們看到駭客的攻擊目標是日本的關鍵基礎設施及學術機構，推測駭客的目的是從事網路間諜活動。

僅管這群攻擊者會運用不同手段接觸目標，但最主要的方式還是使用網路釣魚，然而，這些駭客現在也開始調整策略，利用漏洞來入侵受害組織，而這樣的發現與JPCERT/CC公布資訊互相呼應。

接著，駭客會試圖在受害電腦上植入NoopDoor，這個後門程式採模組化設計，並透過網域名稱生成演算法（DGA）進行C2通訊。攻擊者利用名為NoopLdr的惡意程式載入工具將NoopDoor解密、執行。

為了維持NoopDoor持續在受害電腦運作，駭客根據不同情境，使用了3種方法來達到目的。

其中一種是透過工作排程執行公用程式MSBuild，載入惡意的XML檔案，從而在執行時編譯、啟動惡意程式載入工具。

另一種則是濫用WMI事件，攻擊者利用ActiveScript執行JavaScript引擎，觸發MSBuild執行NoopDoor的載入工具。

最後一種藉由設置惡意服務，載入未經簽章的DLL檔案來達到目的。

研究人員指出，駭客同時使用LodeInfo、NoopDoor兩支後門程式攻擊時，很有可能以LodeInfo為主，NoopDoor為輔，而這樣的做法讓駭客能長時間存取受害組織網路環境。