日本电脑网络危机处理暨协调中心（JPCERT/CC）指出，他们得知黑客组织APT-C-60于今年8月攻击日本企业组织，对方佯装成求职者向人资窗口寄送钓鱼信，意图散布恶意程序。

在这波攻击行动里，黑客寄送含有Google Drive链接的钓鱼信，一旦收信人点击链接，电脑就会下载含有恶意程序的VHDX虚拟磁盘文件，该文件内含诱饵及Windows捷径档（LNK）。

收信人若是点击附件，电脑就会挂载虚拟磁盘并显示伪制成自我介绍的LNK文件，一旦打开，电脑就会启动文件名为IPML.txt的Shell文件，此Shell程序就会下载恶意程序下载工具SecureBootUEFI.dat，并以COM挟持（Component Object Model Hijacking）的方式运行，借此让攻击者在受害电脑持续活动。

此DAT文件接着存取网页分析工具StatCounter，目的是确认受害电脑使用的HTTP参照区域内容，从而得知电脑名称、用户名等信息，然后再从代码代管平台Bitbucket下个阶段的作案工具Service.dat，而这个文件又会在受害电脑产生另外2个组件cn.dat、sp.dat，最终加载后门程序SpyGlace。

研究人员指出，在今年8月至9月，有其他资安业者也察觉相关攻击行动，其共通点就是滥用Bitbucket和StatCounter服务器，而且，攻击者会操弄COM对象以便持续活动。虽然他们发现的攻击行动针对日本，但韩国、中国，以及其他东南亚国家，也可能会出现类似攻击行动。