El malware, que lleva el nombre de un personaje del videojuego Dishonored, continúa actuando contra una serie sitios web de alto perfil militar y social; el último ataque apareció hace unos 10 días.

La campaña conocida como Sunshop está dirigida a una serie de sitios web coreanos enfocados en la estrategia política y militar, así como el foro relacionado con la etnia Uyghur entre otros. El malware aprovecha un par de vulnerabilidades de día cero de Java e IE 8, recientemente utilizadas contra el Departamento Laboral de Estados Unidos y otros sitios. Los exploits permitieron redirigir a las víctimas al sitio sunshop.com.tw, el cual se utiliza para albergar muestras de malware, incluyendo a Lady Boyle, que ha sido utilizado en ataques contra los Uyghur y Winnti.

El malware Lady Boyle es un troyano de acceso remoto, tiene servicio desde tres diferentes comandos de control (C&C) para los ataques Sunshop. Los usuarios de IE 8 que son redirigidos al sitio comprometido son afectados con un exploit que afecta la vulnerabilidad descrita en CVE-2013-1347, dicho exploit es enviado desde el sitio hk.sz181.com conectado a un servidor C&C en dns.homesvr.tk. Los dos exploits de Java afectan CVE-2013-2423 y CVE-2013-1493. Se reporta que las vulnerabilidades han sido solucionadas. El dominio de todos los servidores C&C, según FireEye, resolvieron la dirección IP 58.64.205.53, utilizada para alojar el malware Briba, también conocido como IExplorer RAT, muestra dirigida a organizaciones no gubernamentales.

"El tipo de malware RAT (Remote Access Trojan) proporciona acceso a un equipo de cómputo, ejecuta comandos, obtiene información de las víctimas, carga nuevos ejecutables o ejecuta comandos en el shell", dijo Moran.

Los investigadores de FireEye también descubrieron una conexión entre sunshop.com.tw y el troyano de acceso remoto Poisonlvy el cual fue  usado en otros ataques.