今年初Infoblox寻求其他研究人员合作来进一步调查，结果发现，这些黑客将名称服务器的组态，设置成从不同的开放解析器进行查找时，每次都会产生随机的IP位址，而这样的组态，竟然影响资安业者Palo Alto Networks旗下的自动化回应解决方案Cortex Xpanse，这套系统放大了（amplifies）DNS查找活动。

为何如此？Infoblox指出这套资安系统将DNS查找的网域名称视同URL，并尝试从网域当中的随机IP位址进一步搜索，一旦包含该厂牌的防火墙设备在内的资安系统收到Cortex Xpanse的请求，就会运行URL过滤，而此种过滤工作将会针对网域启动新的DNS查找，使得网域名称服务器回传新的IP位址，导致Cortex Xpanse重复、无限循环地运行相关查找。

Infoblox指出，这样的情况导致SecShow的攻击行动被放大，很容易误导相关研究人员，而他们则是借由自己的递归解析器与其他DNS递归解析器比对数据，而得到相关结果。

他们在去年7月，看到黑客运行了6个查找，后续截至12月，有超过230万个查找几乎由Cortex Xpanse触发。

研究人员指出，在他们之前，已有Dataplane.org及Palo Alto Networks的研究人员察觉SecShow的攻击行动，而这些黑客约在5月中旬停止相关活动的迹象，但这并非中国黑客首度对全球进行大规模DNS探测的攻击行动，他们在今年4月揭露另一组从事类似攻击的黑客组织Muddling Meerkat，但不同的是，这些黑客疑似具备控制中国防火长城（Great Firewall）的能力。

而对于Infoblox提出的观察分析，Palo Alto Networks也向资安新闻网站Hacker News表示，Cortex Xpanse能排除特定网域，一旦识别新的C2后，就不再对其进行扫描。他们强调，为了判断恶意网域，出现DNS解析活动稍微增加的情况，这套资安系统依照预期正常运作，他们的客户并未受到影响。