Um grupo de hackers ligado à China, identificado como UnsolicitedBooker, foi responsabilizado por uma campanha de ciberespionagem contra uma organização internacional na Arábia Saudita. A ação, que durou ao menos três anos, utilizou um backdoor inédito batizado de MarsSnake. Os ataques começaram em março de 2023 e voltaram a ocorrer em 2024 e janeiro de 2025, demonstrando forte interesse no mesmo alvo.

O grupo usou táticas de spear phishing, enviando e-mails com supostas passagens aéreas da Saudia Airlines como isca. Os anexos, em formato Word, simulavam bilhetes baseados em PDFs obtidos no site acadêmico Academia. Ao serem abertos, os documentos executavam macros que instalavam o arquivo smssdrvhost.exe, responsável por carregar o MarsSnake, que então se conectava a um servidor remoto para controle.

Além do MarsSnake, o UnsolicitedBooker já foi associado ao uso de outras ferramentas conhecidas como Chinoxy, DeedRAT, Poison Ivy e BeRAT, todas frequentes em operações de hackers chineses. Esse grupo possui vínculos com os clusters Space Pirates e outro responsável por atacar uma ONG islâmica na Arábia Saudita com o backdoor Zardoor. Outros grupos chineses também foram identificados em ações recentes. O PerplexedGoblin também conhecido como APT31 atacou uma entidade governamental da Europa Central com o backdoor NanoSlate, e o DigitalRecyclers, ligado ao APT15, segue mirando instituições da União Europeia com implantes como RClient, HydroRShell e GiftBox.