Aanvallers hebben van een IPv6-feature gebruikgemaakt voor het uitvoeren van man-in-the-middle (mitm) aanvallen om zo besmette updates onder doelwitten te verspreiden. Dat laat antivirusbedrijf ESET in een analyse weten. De feature in kwestie heet stateless address autoconfiguration (SLAAC). Het zorgt ervoor dat clients op het netwerk hun eigen ip-adres en gateway kunnen instellen, zonder dat hiervoor een DHCP-server is vereist.

Wanneer een client online komt stuurt die een Router Solicitation bericht. Een router in het netwerk zal vervolgens met een Router Advertisement (RA) bericht antwoorden. Dit bericht bevat onder andere informatie over de te gebruiken gateway en dns-servers. Bij de aanvallen die ESET ontdekte gebruikten de aanvallers een tool genaamd Spellbinder waarbij ze gespoofte RA-berichten naar doelwitten stuurden, waardoor de machines van deze doelwitten verbinding maakten met servers van de aanvallers.

De gespoofte RA-berichten bevatten een gateway die van de aanvallers is en vervolgens het verkeer kan onderscheppen. Wanneer software op het systeem van het doelwit via http op beschikbare updates controleert wordt dit verzoek naar een malafide server doorgestuurd, die vervolgens een besmette update als antwoord geeft. Deze besmette update wordt vervolgens op het systeem van de gebruiker uitgevoerd, wat leidt tot de installatie van een backdoor waarmee de aanvallers controle over het systeem krijgen.

Volgens ESET is de aanval onder andere uitgevoerd tegen gebruikers van de Chinese keyboard-app Sogou. Daarnaast hebben de aanvallers het ook voorzien op domeinen van Tencent, Baidu, Xunlei, Youku, iQIYI, Kingsoft, Mango TV, Funshion, Yuodao, Xiaomi, Xiaomi Miui, PPLive, Meitu, Quihoo 360 en Baofeng. De virusbestrijder stelt dat er aanvallen zijn uitgevoerd tegen individuen, gokbedrijven en onbekende entiteiten in de Filipijnen, Cambodja, de Verenigde Arabische Emiraten, China en Hongkong. Al in 2011 werd gewaarschuwd voor het kunnen gebruiken van SLAAC bij aanvallen.