资安业者趋势科技揭露专门锁定军事产业的中国黑客组织TIDrone，并指出这些黑客主要目标是台湾军事及卫星工业，尤其是对无人机的制造商感到高度兴趣。

这波攻击行动为何能够现形？主要是趋势科技年初开始不断收到台湾资安事故通报，经过比对及调查，发现黑客锁定军事相关产业链而来，但根据恶意软件分析平台VirusTotal的数据，台湾并非这些黑客唯一的攻击目标，呼吁其他国家也要提高警觉。

黑客如何入侵受害组织环境？研究人员推测很有可能利用特定工具渗透，然后进行横向移动。

而在这波攻击行动里，黑客最终于受害组织散布恶意程序Cxclnt、Clntend，其中，Cxclnt具备上传及下载文件的功能，并能收集系统信息、文件名单，攻击者也能用来发送运行档并运行，此外，最终Cxclnt还能抹除作案的痕迹。

而另一支恶意程序Clntend，是今年4月出现的RAT木马程序，特色是具备较广泛的网络通信协定支持。

值得一提的是，这些受害组织都采用相同的ERP系统，因此他们认为，攻击者很可能透露供应链攻击，来达到散布恶意软件的目的。

攻击者先是通过远程存取工具UltraVNC下载恶意程序的相关组件，然后启动恶意软件、运行winsrv.exe，恶意软件会从winlogon.exe拷贝凭证（Token）来提升权限，并窜改特定文件夹里的Update.exe。

在后续的攻击里，黑客企图绕过用户帐号控制（UAC）、转存帐密数据，并且下达停用杀毒软件的命令。

附带一提的是，研究人员也提及这些攻击行动的另一个共通点，就是黑客都使用WinWord.exe作为主要处理进程，因此资安人员可借由这群黑客惯用的文件特征，进一步防御相关攻击行为。