駭客組織BlackTech鎖定科技、研究、政府部門而來，利用新的後門程式Deuterbear發動攻擊

趨勢科技針對中國駭客組織BlackTech（他們將稱為Earth Hundun）提出警告，指出近期針對科技業、研究機構、政府機關的網路攻擊，出現顯著增加的現象，而且，這些攻擊行動運用名為Waterbear的後門程式，其中最新版本的變種程式特別獲得獨立命名，稱為Deuterbear。

研究人員指出，Waterbear是結構極為複雜的武器，具有廣泛的反除錯、反沙箱、迴避防毒軟體能力。

到了2022年，這些駭客改用名為Deuterbear的新版後門程式，研究人員發現其解密流程與配置的結構出現重大變化，其下載、載入惡意程式的功能有明顯不同。

以下載模組的部分為例，攻擊者導入HTTPS隧道來處理流量，並利用處理程序執行時間檢查除錯模式、透過API及睡眠模式來偵察是否於沙箱環境。此外，該模組也具備反記憶體掃描的偵測功能。

研究人員指出，該後門程式藉由特定的金鑰對所有功能模組進行加密處理，並使用新的虛擬記憶體區塊來執行被呼叫的功能，從而迴避相關偵測。

研究人員指出，對方在受害電腦部署惡意程式的流程相當複雜、隱密。有別於Waterbear傳送金鑰供C2驗證，成功後就接受惡意程式，他們看到攻擊者在下載RAT木馬程式的過程中，Deuterbear先是與C2建立HTTPS連線，然後傳送RC4私鑰，並驗證C2回傳的金鑰，確認後才發出下載請求、取得RAT程式的大小並下載。