上个月日本电脑紧急应变团队暨协调中心（JPCERT/CC）揭露攻击行动MirrorFace的最新态势，当中提及黑客锁定当地制造业、研究机构发动攻击，企图在这些企业组织植入后门程序NoopDoor，如今有资安业者公布与这支恶意程序有关的细节。

根据资安业者Cyber​​eason的调查，中国黑客组织APT10使用LodeInfo与NoopDoor两款恶意程序，锁定日本企业组织发起名为Cuckoo Spear的攻击行动，而能在受害组织的网络环境活动长达2至3年。他们提及这项攻击行动与黑客组织Earth Kasha，以及另一起攻击行动MirrorFace有所关连，因为这三个行动所用的武器有个共通点，那就是APT10惯用的恶意程序LodeInfo。

研究人员提到，黑客在使用NoopDoor的攻击行动，同时运用后门程序LodeInfo，然后使用新的后门程序窃取受害组织数据。他们看到黑客的攻击目标是日本的关键基础设施及学术机构，推测黑客的目的是从事网络间谍活动。

仅管这群攻击者会运用不同手段接触目标，但最主要的方式还是使用网络钓鱼，然而，这些黑客现在也开始调整策略，利用漏洞来入侵受害组织，而这样的发现与JPCERT/CC公布信息互相呼应。

接着，黑客会试图在受害电脑上植入NoopDoor，这个后门程序采模块化设计，并通过网域名称生成算法（DGA）进行C2通信。攻击者利用名为NoopLdr的恶意程序加载工具将NoopDoor解密、运行。

为了维持NoopDoor持续在受害电脑运作，黑客根据不同情境，使用了3种方法来达到目的。

其中一种是通过工作调度运行公用程序MSBuild，加载恶意的XML文件，从而在运行时编译、启动恶意程序加载工具。

另一种则是滥用WMI事件，攻击者利用ActiveScript运行JavaScript引擎，触发MSBuild运行NoopDoor的加载工具。

最后一种借由设置恶意服务，加载未经签章的DLL文件来达到目的。

研究人员指出，黑客同时使用LodeInfo、NoopDoor两支后门程序攻击时，很有可能以LodeInfo为主，NoopDoor为辅，而这样的做法让黑客能长时间存取受害组织网络环境。