La campagne est basée sur de nouveaux outils sophistiqués et évasifs – le malware SNOWLIGHT et le RAT open source VShell – et une nouvelle infrastructure de command and control en place depuis janvier 2025.

UNC5174 travaille pour le compte de l’État chinois et avait déjà été identifié par Mandiant pour des campagnes d’attaque exploitant des vulnérabilités dans les équipements F5 Big-IP et ConnectWise en 2024.
Sysdig a identifié une nouvelle campagne discrète et très sophistiquée qui semble être active à minima depuis novembre 2024 et dont le but est toujours d’infiltrer discrètement des réseaux à des fins d’espionnage. Sysdig alerte sur le fait que le groupe UNC5174 représente une menace sérieuse pour les organisations internationales, avec un ciblage principal sur des cibles qui seraient stratégiques pour l’État chinois.