Aanvallers zijn erin geslaagd een onbekend aantal organisaties te infecteren met backdoors en cryptominers via het updatemechanisme van de virusscanner eScan, zo meldt antivirusbedrijf Avast. Voorheen maakte de eScan-antivirussoftware standaard gebruik van http-verbindingen voor het downloaden van updates. De aanvallers hebben echter middels een man-in-the-middle (mitm) aanval een kwaadaardige update weten te verspreiden naar de getroffen organisaties.
Zodra de virusscanner de kwaadaardige update uitvoert, raakt het systeem geïnfecteerd. Hoewel de precieze methode voor de mitm-aanval onbekend is, vermoedt Avast dat de aanvallers al toegang hadden tot het systeem of het netwerk van de aangevallen organisatie, waardoor ze het verkeer konden omleiden. De aanval omvatte twee typen backdoors die specifiek gericht waren op grote bedrijfsnetwerken.
Daarnaast worden geïnfecteerde systemen voorzien van een cryptominer, die de rekenkracht van de computer benut voor het delven van cryptocurrency. Avast heeft eScan gewaarschuwd en meldt dat de recentste versies van de antivirussoftware gebruikmaken van https voor het downloaden van updates. Avast vermoedt dat de aanvallers mogelijk banden hebben met een Noord-Koreaanse aanvalsgroep.