El grupo atacante tiene vínculos con un grupo clandestino de crackers chinos y uilizan herramientas personalizadas para atacar a empresas, mencionaron los investigadores de Dell SecureWorks.

El grupo ha estado atacando a empresas de las industrias del entretenimiento y los videojuegos durante años con el objetivo de robar el código fuente. La propiedad intelectual robada se utiliza para hacer los cracks de los juegos y poder utilizarlos de forma gratuita, para crear herramientas de engaño en el juego o para desarrollar productos de la competencia, mencionaron los investigadores de seguridad de Dell SecureWorks en un análisis de las actividades que realizaron.

Dell SecureWorks ha estado siguiendo al grupo denominado como Grupo de Amenaza-3279 (TG-3279 por sus siglas en inglés), se cree que han estado activos desde 2009.

La información recogida por los investigadores de la compañía, mientras realizaban la investigación de las empresas afectadas, sugiere que el grupo de ataque utiliza una variedad de herramientas para el reconocimiento y el acceso constante de los sistemas, algunas de las cuales fueron desarrolladas por miembros actuales del grupo. Estas herramientas incluyen un troyano de acceso (RAT) denominado Conpee y un rootkit llamado ETSO que oculta las actividades de los archivos y de la red.

Otras herramientas y scripts que se adjudican a TG-3279, de acuerdo con Dell SecureWorks, incluyen: una herramienta que obtiene perfiles del sistema llamado gsi.exe, una herramienta para la ejecución de código portable (PE) de archivos llamados Runxx, un escáner de puertos SYN llamado "s", un script de inyección SQL escrito en PHP llamado sqlin.php, una secuencia de comandos para enumerar las entradas DNS llamadas dnsenum.py, una RDP (Remote Desktop Protocol) de herramientas de fuerza bruta llamada rdp_crk; y un shell inverso para llamadas al sistema de Windows llamado icmp_shell.

Algunos de los programas instalados en sistemas comprometidos están firmados con un certificado digital probablemente robado, que fue emitido por una compañía de tecnología china. El certificado fue revocado en agosto de 2012 pero los sistemas que no tienen una lista de revocación de certificados actualizada (CRL) todavía podrían verlo como válido.

Los atacantes TG-3279 investigan sus objetivos con anticipación utilizando fuentes públicas de información y a través de escaneos de red. Los investigadores de Dell SecureWorks no tienen evidencia para sugerir que el grupo está utilizando exploits automatizados con malware y creen que los atacantes lo hacen manualmente "hands-on-keyboard".

Después de penetrar las defensas de una organización, los atacantes intentan comprometer las computadoras y las credenciales utilizadas en la red y por los administradores del sistema con el fin de obtener un amplio acceso a los registros de la red y de los archivos de la organización.