Um grupo hacker chinês foi observado visando ministérios de Relações Exteriores e embaixadas na Europa usando técnicas de contrabando de HTML para entregar o trojan de acesso remoto PlugX em sistemas comprometidos.

A campanha usa novos métodos de entrega, principalmente HTML Smuggling para implantar uma nova variante do PlugX.

Embora a carga útil em si permaneça semelhante à encontrada nas variantes PlugX mais antigas, seus métodos de entrega resultam em baixas taxas de detecção, o que até recentemente ajudou a campanha a passar despercebida.

Uma análise dos documentos, que foram carregados no banco de dados de malware VirusTotal, revela que eles foram projetados para atingir diplomatas e entidades governamentais na Tchequia, Hungria, Eslováquia, Reino Unido, Ucrânia e também provavelmente na França e na Suécia.

O processo de infecção em vários estágios utiliza métodos de carregamento lateral de DLL para descriptografar e iniciar a carga útil final, PlugX.