یک گروه جاسوس سایبری وابسته به چین که احتمالاً از اوایل سال ۲۰۱۰ میلادی فعال است، یک بدافزار جدید را توسعه داده که در حملات بسیار هدفمندی که در طول سال گذشته راه اندازی شد، استفاده شده است. این بدافزار جدید با نام Reaver، توسط محققان تجزیه و تحلیل شد. آخرین بار داده ی مخرب این بدافزار با استفاده از فایل های کنترل پنل ویندوز (CPL) بارگذاری می شود که بسیار غیرمعمول است و محققان گفتند که تنها ۰٫۰۰۶ درصد بدافزارها از این روش استفاده می کنند. موجی از بدافزارهای کنترل پنل در سال ۲۰۱۳ و ۲۰۱۴ میلادی در برزیل مشاهده شد، که مجرمان سایبری از آن برای توزیع تروجان های بانکی استفاده می کردند.
با توجه به زیرساختهایی استفاده شده، کارشناسان Reaver را به SunOrcal ربط دادهاند. این بدافزار توسط عاملان تهدید در چین و در حملاتی که انتخابات ریاست جمهوری تایوان در ماه ژانویه سال ۲۰۱۶ میلادی را هدف قرار داد، مورد استفاده قرار گرفت. گروهی که پشت SunOrcal است از Surtr RAT استفاده میکند که آن هم با تولیدکنندهی اسناد مخرب به نام HomeKit و Four Element Sword مرتبط است.
این عامل تهدید حداقل از سال ۲۰۱۳ وجود داشته اما برخی از شواهد نشان میدهد که ممکن است از اوایل سال ۲۰۱۰ فعال بوده باشند. این بدافزار از ابزار کنترل پنل ویندوز، control.exe سوءاستفاده میکند تا بار دادهی مخرب Reaver را بارگذاری کند. اولین نسخهی تهدید از HTTP برای ارتباطات استفاده میکند، در حالی که نسخهی جدیدتر متکی به استفاده از TCP است.
هنگامی که این بدافزار یک دستگاه را آلوده میکند، میتواند به اپراتورهای خود کمک کند تا اطلاعاتی در مورد سیستم قربانی، از جمله سرعت CPU، نام کامپیوتر، نام کاربری، آدرس آیپی، اطلاعات حافظه و نسخهی ویندوز جمعآوری کنند. این بدافزار همچنین میتواند فایلها را بخواند و در آنها بنویسد، فایلها و رجیستریها را تغییر دهد، فرآیندها را ایجاد کند و خاتمه دهد و سرویسها را تغییر دهد. نفوذگران در اواخر سال ۲۰۱۶ میلادی در کنار SunOrcal استفاده از Reaver را نیز آغاز کردند. هردوی این بدافزارها در حملات اخیر ماه نوامبر سال ۲۰۱۷ میلادی دیده شدهاند.
