Broadcom Software 旗下的賽門鐵克 Threat Hunter 團隊在的一份報告中表示：“該組織開發了三種較舊的遠程訪問木馬 (RAT) 的定制版本，包括Trochilus RAT、Gh0st RAT和9002 RAT”。

這家網絡安全公司表示，至少有一個入侵指標 (IOC) 被用于針對在多個亞洲國家運營的 IT 服務提供商的攻擊。

值得指出的是，這三個后門主要與中國威脅行為者有關，如 Stone Panda (APT10)、Aurora Panda (APT17)、Emissary Panda (APT27) 和 Judgment Panda (APT31) 等。被其他黑客組織使用。

賽門鐵克表示，Webworm 威脅行為者與今年 5 月初 Positive Technologies 記錄的另一個新的對抗性團體Space Pirates表現出戰術重疊，該團體被發現使用新型惡意軟件攻擊俄羅斯航空航天業的實體。

就太空海盜而言，由于共享使用后開發模塊，它與先前確定的中國間諜活動（稱為 Wicked Panda (APT41)、Mustang Panda、Dagger Panda ( RedFoxtrot )、Colorful Panda (TA428) 和 Night Dragon）有交叉RAT，例如PlugX和ShadowPad。

其惡意軟件庫中的其他工具包括 Zupdax、Deed RAT、稱為 BH_A006 的 Gh0st RAT 的修改版本和 MyKLoadClient。

Webworm 自 2017 年以來一直活躍，在俄羅斯、格魯吉亞、蒙古和其他幾個亞洲國家的 IT 服務、航空航天和電力行業有引人注目的政府機構和企業的記錄。

攻擊鏈涉及使用 dropper 惡意軟件，該惡意軟件包含一個加載程序，旨在啟動 Trochilus、Gh0st 和 9002 遠程訪問木馬的修改版本。這家網絡安全公司表示，大多數更改旨在逃避檢測，并指出初始訪問是通過帶有誘餌文件的社會工程實現的。

研究人員說：“Webworm 使用舊版本的定制版本，在某些情況下是開源的，惡意軟件以及代碼與被稱為 Space Pirates 的組織重疊，這表明它們可能是同一個威脅組織。然而，這些類型工具的共同使用以及該地區團體之間的工具交換可能會掩蓋不同威脅團體的蹤跡，這可能是采用這種方法的原因之一，另一個原因是成本，因為開發復雜的惡意軟件在金錢和時間方面的成本都很高。”