Ambtenaren in verschillende Europese en Aziatische landen zijn het doelwit van een aanval geworden waarbij aanvallers via een oud Word-lek toegang tot overheidscomputers proberen te krijgen. De aanval begint met een e-mail die van het Chinese Ministerie van Defensie afkomstig zou zijn, ook al is het bericht vanaf een Gmail-adres verstuurd en wordt er geen Chinese naam gebruikt.

De e-mail bevat een kwaadaardige bijlage die misbruik van het bekende beveiligingslek CVE-2012-0158 maakt. Microsoft patchte deze kwetsbaarheid in Microsoft Office op 10 april 2012. Gezien het aantal gerichte aanvallen op overheidsinstanties en bedrijven waarbij dit lek wordt gebruikt blijkt dat veel organisaties de update niet hebben geïnstalleerd.

Backdoor
Zodra ambtenaren het Word-bestand op een ongepatchte computer openen, wordt er een backdoor geïnstalleerd. Om het slachtoffer niets te laten vermoeden wordt er een 'dummy' document getoond. In de achtergrond stelen de aanvallers vervolgens gebruikersnamen en wachtwoorden die door Internet Explorer en Microsoft Outlook zijn opgeslagen.

De kwaadaardige e-mail was verstuurd naar 16 overheidsfunctionarissen van Europese landen. Het Japanse anti-virusbedrijf Trend Micro dat de aanval ontdekte, stelt verder dat ook Chinese en Taiwanese ambtenaren het doelwit van de backdoor zijn geworden.