研究人员利用一种新颖的攻击媒介，劫持了其他后门中的废弃后门，这些后门依赖于过期或废弃的基础设施，例如过期的域。

　　通过获取这些域名，研究人员可以访问数千个受感染的系统，其中包括政府（孟加拉国、中国、尼日利亚）、大学（泰国、中国、韩国）和其他实体的系统。

　　这种“自动驾驶大规模黑客攻击”方式表明，继续依赖过时的基础设施以及攻击者利用废弃系统进行恶意活动的可能性会带来重大的安全风险。

　　攻击者可以通过使用 Web Shell 进行后利用活动，Web Shell 是在成功利用漏洞后部署在 Web 服务器上的代码片段。

　　Webshell 种类繁多，简单的可以执行命令，复杂的则可以具有文件管理、代码执行、自我删除、后门部署、FTP暴力破解、SQL 客户端等功能。

　　常见的后门允许原作者访问任何运行 Web Shell 的主机，因为他们提供了一个 c99shell 后门的示例，其中登录名和密码在代码中是硬编码的。

　　攻击者可以利用@extract 函数，该函数旨在覆盖与当前范围相关的变量，以便覆盖硬编码的凭证变量。

　　研究人员从互联网上收集了 Web Shell，分析了传入的请求，并确定了 APT37 使用的后门，该后门发送伪装成 GIF 图像获取请求的信标请求。

　　据 瞭望塔实验室称ios10连接华侨大学vpn，超过 3900 个受感染的唯一域名正在使用此后门，并且发现来自政府域名的请求，包括尼日利亚政府网站 fhc.gov.ng。

　　攻击者使用带密码的Webshell进行登录，将密码以明文形式传输到日志服务器，并修改代码以指向不同的URL，但仍将数据发送到日志服务器。