با بازیابی تله های این وب سایت ها ، بازیگران می توانند جاوا اسکریپت ها را در مرورگرهای بازدید کنندگان بارگذاری کنند ، اطلاعات جمع آوری کرده یا بارهای مخرب را توزیع کنند. در این کمپین بازیگران از پاپ آپ استفاده می کنند که از بازدید کننده می خواهد آخرین نصب کننده بروزرسانی فلش پلیر را بارگیری کند. اگر این کار را انجام دهند ، یک درپشتی روی سیستم آنها ریخته می شود. این به بازیگران این امکان را می دهد تا اطلاعات را از آنجا در Google Drive جدا کنند. اجرایی مخرب به مدت نه ماه در GitHub میزبان بود تا این که محققان کسپرسکی آن را گزارش و حذف کردند. مخزن شامل چهار اجرایی است ، یعنی یک نصب کننده بروزرسانی Flash Decoy ، پشتیبان "Godlike12" و دو نسخه از Backdoor "Stitch" Python.
بخیه منبع باز و به راحتی در دسترس است ، اما بازیگران آن را اصلاح کرده اند تا به ماندگاری ، خودکار اضافه کنند به روزرسانی ، بارگیری مجدد و قابلیت های اجرایی. این برنامه دارای ارتباطات رمزگذاری شده AES و اتصالات سوکت مستقیم است. این نشانگر فداکاری گروه خاص برای بهبود عملکرد آنها است ، زیرا در غیر این صورت ، صرفاً وقتی از "قفسه خارج می شوند" از بخیه استفاده می کردند. در رابطه با درپشتی Godlike12 ، این بدافزار مخصوصاً خطرناک چینی است که می تواند اثر انگشت میزبان را انجام دهد ، داده ها را در Google Drive بارگذاری کند و دستورات رمزگذاری شده را نیز اجرا کند. ضعف آن این است که مکانیسم های استقامت را روی میزبان پیاده سازی نمی کند. درمورد زیرساخت C2 کمپین ، این موارد در زیر آورده شده است.
برای محافظت از خود در برابر حملات چاله های آب ، اولین و مهمترین کاری که شما باید انجام دهید تنظیم و استفاده از مجموعه امنیت اینترنتی از یک فروشنده معتبر است. به غیر از این ، شما باید همه ابزارهای نرم افزاری خود را مرتباً به روز کنید ، به محض دسترسی ، تکه های امنیتی را برای سیستم عامل خود اعمال کنید ، و سعی کنید فقط از وب سایت های رسمی خود به روزرسانی های نرم افزاری را تهیه کنید. در این حالت ، نصب کننده بروزرسانی Flash Player نباید از GitHub گرفته شود. متأسفانه ، این اولین بار نیست که می بینیم که عملیات سوراخ های آبیاری هدف قرار دادن گروه های مذهبی در آسیا است و تقریباً قطعاً آخرین نفر نخواهد بود.