Các nhà nghiên cứu đã quan sát thấy một số hoạt động liên quan tới nhóm tin tặc GOBLIN PANDA nhắm tới các cơ quan tổ chức tại Việt Nam theo thông tin từ phần mềm diệt virus
Lần đầu xuất hiện vào năm 2013 và tích cực hoạt động trong năm 2014, khi cuộc xung đột trên lãnh thổ ở biển đông trở nên căng thẳng, nhóm tin tặc Goblin Panda đã tập trung tấn công Việt Nam. Còn có tên gọi khác là Cycldek, nhóm tin tặc này đã chủ yếu nhắm mục tiêu các tổ chức, cá nhân trong các lĩnh vực quốc phòng, năng lượng, và chính phủ.
Vào tháng trước, nhiều phát hiện cho thấy nhóm tin tặc Goblin Panda lại nhắm mục tiêu vào Việt Nam, sử dụng chiến dịch khai thác tài liệu và có các bẫy tin và chủ đề (theme) viết bằng tiếng Việt.
Các nhà nghiên cứu bảo mật quan sát thấy hai vụ khai thác tài liệu với tên tập tin là tiếng Việt có chứa siêu dữ liệu đặc trưng của nhóm Goblin Panda. Khi mở, các tập tin sẽ hiển thị tài liệu Microsoft Office Word với các chủ đề liên quan đến đào tạo để làm bẫy tin.
Các tài liệu này cố gắng khai thác lỗ hổng Office cũ, cụ thể là CVE-2012-0158. Mã khai thác sẽ thả phần mềm độc hại được theo dõi dưới dạng QCRat vào thiết bị bị xâm nhập.
Tài liệu mà Goblin Panda sử dụng là “tệp thực thi đã từng hợp pháp, thư viện liên kết động (DLL), cũng như các tệp cấu hình mới được lưu trữ dưới dạng .tlb.”
Trong khi phân tích các lệnh và kiểm soát cơ sở hạ tầng trong chiến dịch tấn công này, các nhà nghiên cứu bảo mật đã phát hiện ra rằng nhóm tin tặc Goblin Panda có thể cũng đang nhắm mục tiêu tới các tổ chức ở Lào. Tuy nhiên, chưa phát hiện cuộc tấn công nào ở Lào.