Theo hãng bảo mật Trend Micro, chương trình độc hại này được đóng gói dưới dạng tệp ZIP, ngụy trang thành tài liệu Word và được phát tán qua email lừa đảo. Nó có thể qua mặt các phần mềm chống virus bằng kỹ thuật làm xáo trộn, chẳng hạn sử dụng các ký tự đặc biệt trong tên gói ứng dụng.

Một khi được cài vào máy, mã độc có thể thay đổi quyền truy cập, cài cửa hậu và hệ thống để kẻ tấn công để thâm nhập, theo dõi, tải xuống các file và đánh cắp thông tin nhạy cảm.

Trend Micro nhận định backdoor này có liên quan đến nhóm hacker OceanLotus, hay còn gọi là APT32. Mã độc cũng có một số điểm tương đồng các mẫu backdoor mà Trend Micro phát hiện vào năm 2018. Biến thể mới được cho là được thiết kế để hoạt động gián điệp có mục đích ở riêng tại Việt Nam, do các tên tệp của nó được viết bằng tiếng Việt.

"Các nhóm hacker như OceanLotus đang tích cực cập nhật các biến thể của phần mềm độc hại để tránh bị phát hiện", hãng bảo mật cho biết.

Trend Micro khuyến cáo người dùng tránh bấm vào đường link hoặc tải xuống bất kỳ tệp đính kèm nào từ những người gửi email mà họ không biết hoặc tin cậy. Người dùng cũng cần cập nhật thiết bị macOS với các bản vá bảo mật mới nhất.