Через медиаплеер загружалось вредоносное ПО, которое получает доступ к серверу управления и контроля, а также может собирать сведения о системе.
Исследователи безопасности из компании Symantec обнаружили длительную вредоносную кампанию хакеров, связанных с правительством Китая, которые используют VLC Media Player для запуска пользовательского загрузчика вредоносных программ.
Они приписали эту активность злоумышленнику, отслеживаемому как Cicada, который активен уже более 15 лет — минимум с 2006 года. Начало текущей кампании Cicada отслеживается до середины 2021 года, но она может продолжаться и сегодня.
Symantec обнаружила свидетельства того, что первоначальный доступ к некоторым из взломанных сетей осуществлялся через сервер Microsoft Exchange. После получения доступа хакеры с помощью популярного медиаплеера разворачивают на скомпрометированных системах специальный загрузчик. На взломанных компьютерах обнаружили версию VLC с файлом DLL, который используется для загрузки вредоносного ПО.
Кроме того, хакеры разворачивают сервер WinVNC для получения удаленного контроля над системами-жертвами. В отдельных случаях хакерам удавалось контролировать компьютер жертвы до девяти месяцев.
Кампания, по-видимому, служит шпионским целям и нацелена на различные организации, участвующие в государственной, юридической и религиозной деятельности в США, Канаде, Гонконге, Турции, Израиле, Индии, Черногории, Италии и Японии.