Дослідники безпеки з компанії Palo Alto Networks опублікували звіт про діяльність хакерського угруповання, ймовірно пов'язаного з китайським урядом. Як випливає з доповіді, угруповання поширює нове зловмисне програмне забезпечення Reaver за допомогою шкідливих файлів CPL (Command Panel files, файли панелі керування).

За словами дослідників, даний метод завантаження досить незвичайний і використовується лише 0,006% шкідливого ПЗ. Пік популярності методу припав на 2013-2014 роки у Бразилії, де кіберзлочинці використовували його для поширення банківських троянів.

Reaver експлуатує вразливість в утиліті панелі керування Windows (control.exe). Перша версія шкідливого ПЗ використовувала HTTP для зв'язку з сервером, у нових версіях Reaver зловмисники перейшли на протокол TCP.

Виявившись на системі, Reaver збирає різну інформацію про систему, зокрема дані про продуктивність процесора, ім'я комп'ютера, ім'я користувача, IP-адресу, відомості про пам'ять пристрою та версію Windows. Шкідливе ПЗ також здатне читати та записувати файли, змінювати файли реєстру, створювати та завершувати процеси, а також модифікувати служби.

Дослідники пов'язують Reaver зі шкідливим ПЗ SunOrcal, який використовував хакери, які, ймовірно, базуються в Китаї, в атаках на президентські вибори в Тайвані в січні 2016 року. Як зазначили дослідники, угруповання, відповідальне за атаки SunOrcal, також використовує троян для віддаленого доступу SurTR, пов'язаного з генераторами шкідливих документів HomeKit та Four Element Sword. Угруповання діє щонайменше з 2013 року, проте деякі дані свідчать про її активність уже у 2010 році.

Reaver використовується хакерами з кінця 2016 року поряд із SunOrcal. Обидва різновиди шкідливого ПЗ застосовувалися в кібератаках у листопаді 2017 року, проте фахівці не мають точних відомостей про цілі хакерів.