گروه نفوذی که اخیرا زنجیره ی تامین نرم افزار CCleaner را با بدافزار آلوده کرده بودند، حداقل ۲۰ شرکت فناوری مهم را با بدافزار ثانویه ی خود هدف قرار داده اند. وقتی محققان در وهله ی اول آلودگی این نرم افزار را بررسی کردند، متوجه وجود بار داده ی ثانویه نشدند چرا که هیچ یک از قربانیان هنوز با بدافزار ثانویه تحت تاثیر قرار نگرفته بودند.
محققان امنیتی سیسکو تالوس که سرور دستور و کنترل این بدافزار اولیه را مورد بررسی قرار دادند، یک ماژول درب پشتی سبک وزن را با نام GeeSetup_x86.dll کشف کردند که قرار بود به ماشین های خاصی که در برخی شرکت ها و سازمان ها مورد استفاده قرار می گیرد، تحویل داده شوند.
فهرست سازمانهایی که هدف قرار گرفتهاند طولانی بوده و عبارتند از: گوگل، مایکروسافت، سیکسو، اینتل، سامسونگ، سونی، اچتیسی، Linksys، دیلینک، Akamai و Vmware. با بررسی بر روی سرور دستور و کنترل مشخص شد که ۷۰۰ هزار ماشین با نسخهی آلودهی CCleaner تحت تاثیر قرار گرفتهاند و حداقل ۲۰ ماشین نیز با بدافزار مرحلهی دوم آلوده شدهاند.
ماشینهایی که با بدافزار ثانویه آلوده شدهاند با نام دامنه، آدرس IP و نام میزبان هدف قرار گرفته و این موضوع را به ذهن متبادر میکند که مهاجمان تنها سعی داشتند یک عملیات جاسوسی صنعتی را اجرا کنند. محققان سیسکو تالوس اعلام کردند که بر روی سرور دستور و کنترل این بدافزار، منطقهی زمانی بر روی چین تنظیم شده و به نظر میرسد نفوذگران چینی پشت حملات CCleaner بودهاند. به گفتهی محققان کسپرسکی، کد مخربی که در حملهی CCleaner مورد استفاده قرار گرفته، مشابه ابزاری نفوذی است که گروه نفوذ APT17 مورد استفاده قرار میدهند.