האקרים ויאטנמיים בעלי מוטיבציה פיננסית מכוונים מתקפות סייבר כלפי עסקים ברחבי אסיה, למטרות קצירת אישורים תאגידיים ונתונים פיננסיים, אותם הם מוכרים בשווקים פליליים מקוונים. חוקרים מ- Cisco Talos זיהו מקבץ פריצות סייבר באמצעות נוזקות המשוייכות ל- CoralRaider כנגד הודו, סין, דרום קוריאה, בנגלדש, פקיסטן, אינדונזיה ויעדים נוספים באסיה. Talos מייחסים את מוצאה של הקבוצה לויאטנם ומצביעים על השימוש של ההאקרים בויאטנמית בערוץ הפיקוד והשליטה שלהם בטלגרם ועל מילים ויאטנמיות המקודדות בקבצים בינאריים של מטעיני הנוזקות. מקור כתובת ה- IP של של הקבוצה הינו בעיר האנוי.
נמצא כי ההאקרים משתמשים ב- RotBot – כלי גישה מרחוק מותאם אישית – גרסה של Quasar RAT – כדי להפעיל נוזקות גניבת מידע המחפשות חשבונות עסקיים במדיה חברתית – חשבונות המכילים נתונים כגון כרטיסי אשראי. הקבוצה מתמקדת בגניבת אישורים של קורבנות, נתונים פיננסיים וחשבונות מדיה חברתית, כולל חשבונות עסקיים, אמרו החוקרים. מתקפת הסייבר של CoralRaider מתחילה כאשר קורבנות פותחים קובץ קיצור דרך LNK זדוני של Windows, מה שמפעיל את שרשרת ההדבקה. Talos טוענים שעדיין לא ברור כיצד מעבירים ההאקרים את הקבצים לקורבנות. קובץ ה- LNK המופעל על ידי הקורבן מוריד קובץ יישום HTML המבצע סקריפט Virtual Basic שבתורו מבצע סקריפט PowerShell אשר מפענח ומבצע ברצף שלושה סקריפטים אחרים של PowerShell המבצעים בדיקות אנטי VM ואנטי ניתוח, עוקפים את גישת המשתמש, משביתים את ההתראות של Windows במחשב של הקורבן ולבסוף מוריד ומפעיל את RotBot.
גנב המידע XClient אשר נטען על ידי RotBot, אוסף מידע ונתונים כגון קובצי Cookie, אישורים ומידע פיננסי מדפדפני האינטרנט Brave, Cốc Cốc, Google Chrome, Microsoft Edge, Mozilla Firefox ו- Opera, כמו גם מ- Discord ו- Telegram. גנב המידע XClient אוסף גם נתונים מחשבונות הפייסבוק, האינסטגרם, TikTok ויוטיוב של הקורבנות וכן, אוסף פרטים אודות שיטות תשלום והרשאות הקשורות לחשבונות העסק והפרסום של הקורבנות בפייסבוק.
