Atacurile au implicat utilizarea a peste 15 implanturi distincte și variantele acestora, împărțite în trei categorii largi bazate pe capacitatea lor de a stabili acces remote persistent, a aduna informații sensibile și a transmite datele colectate către infrastructura controlată de actori.
Una dintre variantele de backdoor include diverse versiuni ale unei familii de malware numite FourteenHi, care au fost utilizate cel puțin din mijlocul lunii martie 2021 și care vin cu o gamă largă de funcționalități pentru a încărca și descărca fișiere arbitrare, a rula comenzi, a porni un shell invers și a șterge propria prezență de pe gazdele compromise.
Un al doilea backdoor folosit pentru acces remote și colectarea inițială a datelor este MeatBall, care are capacitatea de a lista procesele în curs de desfășurare, a enumera dispozitivele conectate, a efectua operații pe fișiere, a captura capturi de ecran și a se auto-actualiza.
De asemenea, a fost descoperit un al treilea tip de implant din prima etapă care utilizează Yandex Cloud pentru comandă și control, reflectând constatări similare de la Positive Technologies în august 2022, detalii despre atacurile APT31 asupra companiilor media și energetice ruse.
Tendința de a abuza de serviciile cloud (cum ar fi Dropbox, Yandex, Google, etc.) nu este nouă, dar continuă să se extindă, deoarece este greu de restricționat/mitigat în cazurile în care procesele de afaceri ale unei organizații depind de utilizarea acestor servicii.
APT31 a fost, de asemenea, observată folosind implanturi dedicate pentru a aduna fișiere locale și pentru a exfiltra date de pe sistemele izolate de pe rețelele desprinse prin infectarea dispozitivelor detașabile.
Tulpina malware din urmă constă în cel puțin trei module, fiecare componentă fiind responsabilă pentru diferite sarcini, cum ar fi profilarea și gestionarea dispozitivelor detașabile, înregistrarea tastelor apăsate și capturile de ecran și plasarea malware-ului în etapa a doua pe dispozitivele nou conectate.