تم ربط مجموعة قرصنة Hafnium المدعومة من الصين بجزء من برنامج ضار جديد يستخدم للحفاظ على الثبات في نظام Windows المعرض للخطر.
ووصف مركز مايكروسوفت لذكاء التهديدات (MSTIC)، الذي أطلق على برنامج التهرب الدفاعي "Tarrask"، هذا البرنامج بأنه أداة تخلق مهام "مخفية" مجدولة على النظام.
وقال الباحثون: "إساءة استخدام المهام المجدولة هي طريقة شائعة جدًا للمثابرة والتهرب الدفاعي ".
على الرغم من أن Hafnium هو الأكثر شهرة في هجمات Exchange Server، فقد استفاد منذ ذلك الحين من ثغرات يوم الصفر غير المصححة كمتجهات أولية لإسقاط قذائف الويب والبرامج الضارة الأخرى، بما في ذلك Tarrask.
وأضاف الباحثون: "في هذا السيناريو ، تم انشاء مهمة مجدولة باسم 'WinUpdate' عبر HackTool: Win64 / Tarrask من أجل إعادة إنشاء أي اتصالات مقطوعة إلى البنية التحتية للقيادة والتحكم (C&C) الخاصة بهم".