Nu stiu daca a fost raportat deja atacul, scriptul pare a fi din perioada 2016-2018, dar, din ce m-am uitat peste el, face request-uri cu user agent de IE 7 pe Windows 7 si asteapta comenzi de la urmatoarele C&C:
giftmall.xyz
plfongoods.xyz
jormedmall.xyz
dsnycesale.xyz
oedipegoods.xyz
Domeniile sunt cu nameservere de Alibaba dar puncteaza catre IP-uri de Linode. Toate domeniile sunt inregistrate cu nume de americani (se vad pe whois).
Site-urile, daca le accesezi, afiseaza o pagina de login in chineza. Chestia asta plus faptul ca o parte din script e in chineza ma fac sa ma gandesc ca atacul e din China.
Am gasit in cache-ul de Google alte C&C-uri cautand dupa "define("GETDOM",getthisdom());":
taxcupdigital.xyz
wydingtrans.xyz
satpoaweb.xyz
recaeldata.xyz
crsrefcenter.xyz
vipeeshost.xyz
webintsoure.xyz
lokvaldigital.xyz
hnosostrans.xyz
hozemoweb.xyz
datascenter.pw
japandata.pw
digitalja.pw
datatrans.pw
digitalnetwork.pw
eatmhgdata.xyz
tqmgrpcenter.xyz
avordesoure.xyz
gulbendigital.xyz
tignoltrans.xyz