Các nhà nghiên cứu của Kaspersky cho biết mã độc này có những điểm tương đồng với phần mềm độc hại Manuscrypt, một phần trong bộ công cụ tấn công của nhóm tin tặc APT Lazarus. Vụ tấn công đầu tiên được phát hiện vào tháng 6/2021.

Ít nhất 7,2% số máy tính bị phần mềm độc hại tấn công là một phần của hệ thống điều khiển công nghiệp (ICS) được sử dụng bởi các tổ chức trong lĩnh vực kỹ thuật, tự động hóa, năng lượng, sản xuất, xây dựng, quản lý,… chủ yếu ở Ấn Độ, Việt Nam và Nga.

Trong số các trình cài đặt bị bẻ khóa được sử dụng cho mạng botnet bao gồm: Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, Bộ công cụ của kỹ sư SolarWinds và giải pháp antivirus của Kaspersky. Việc cài đặt phần mềm vi phạm bản quyền được kích hoạt bởi phương pháp search poisoning. Khi đó những kẻ tấn công tạo ra các trang web độc hại và tối ưu hóa công cụ tìm kiếm để làm cho kết quả hiển thị nổi bật nhằm đánh lừa người dùng. 

Sau khi được cài đặt, PseudoManuscrypt đi kèm với một loạt các tính năng xâm nhập cho phép kẻ tấn công toàn quyền kiểm soát hệ thống bị lây nhiễm. Điều này bao gồm vô hiệu hóa các giải pháp antivirus, đánh cắp dữ liệu kết nối VPN, ghi lại các lần nhấn phím, ghi âm, chụp ảnh màn hình và quay video màn hình cũng như chặn dữ liệu được lưu trữ trong clipboard.

Kaspersky đã xác định được 100 phiên bản khác nhau của trình tải PseudoManuscrypt, với các biến thể thử nghiệm sớm nhất xuất hiện từ ngày 27/3/2021. Các thành phần của trojan được mượn từ phần mềm độc hại hàng hóa như Fabookie và thư viện giao thức KCP do APT41 có trụ sở tại Trung Quốc sử dụng gửi dữ liệu trở lại hệ thống máy chủ C2.

Các mẫu phần mềm độc hại do ICS CERT phân tích cũng có các bình luận được viết bằng tiếng Trung Quốc và phát hiện ngôn ngữ này thường kết nối với máy chủ C2. Tuy nhiên, vẫn chưa đủ bằng chứng để kết luận về nguồn gốc của nhóm tin tặc.