Целевые атаки ToddyCat проводились с декабря 2020 года.
ToddyCat атаковала серверы Microsoft Exchange в Тайване и Вьетнаме с помощью web-оболочки China Chopper , получала удаленный доступ к административным сетям жертв и запускала многоступенчатую цепочку заражения. Таким атакам подверглись и другие страны: Индия, Индонезия, Иран, Малайзия, Пакистан, Россия, Словакия, Узбекистан, Таиланд, Афганистан и Великобритания.
Согласно отчетам компании ESET, в марте 2021 года ToddyCat использовала уязвимость ProxyLogon для атаки на серверы электронной почты правительственных учреждений по всей Азии и Европе. ProxyLogon – уязвимость Microsoft Exchange, использование которой позволяет злоумышленникам получить доступ к серверам электронной почты.
Совсем недавно Лаборатория Касперского опубликовала свой отчет о ToddyCat, в котором говорится, что первая волна атак была направлена исключительно на серверы Microsoft Exchange, которые хакеры взломали с помощью сложного бэкдора Samurai. Вредонос написан на C#, работает на портах 80 и 443 и использует несколько модулей, позволяющих получить удаленный контроль над зараженной системой, а также обеспечивающих боковое перемещение в сети жертвы. Чтобы развернуть бэкдор, злоумышленники использовали web-оболочку China Chopper, с помощью которой модифицировали реестр Windows, а затем запускали второй и третий этапы .NET-дроппера для запуска Samurai.
Джампаоло Дедола, ИБ-специалист Лаборатории Касперского, назвал ToddyCat группой опытных хакеров, использующих множество методов для избежания обнаружения. Исследователи ЛК обеспокоены деятельностью группировки, так как она нацелена на правительственный и военный секторы.