Sophos X-Ops追踪了东南亚地区线上博弈玩家遭受的多起攻击。发动该攻击的骇客组织被称为「Dragon Breath」、「APT-Q-27」或「Golden Eye Dog」。他们欺骗玩家下载Telegram、Let's VPN和WhatsApp的恶意安装程式。最终，他们会植入一个後门程式，可以窃取受害者加密货币钱包中的加密货币。

为了成功从受害者窃取财物，这个骇客组织使用了一种新颖的技术，称为「双重」DLL侧载（sideloading）。初始的安装程式会先侧载一个无害的应用程式，这个应用程式又会预载另一个无害的应用程式。

然後，这第二个无害的应用程式会再次侧载恶意载入器的DLL，最终安装有害的後门程式。这种多层式的DLL侧载使恶意活动更难以被发现。到目前为止，我们已经在菲律宾、日本、台湾、新加坡、香港和中国都发现了受害者。Sophos X-Ops将继续追踪这个恶意活动。

Sophos威胁研究总监Gabor Szappanos表示：

自2022年8月以来，我们一直在追踪这些锁定东南亚六个国家的中文线上博弈社群的攻击。虽然针对这个社群的攻击并非罕见，但是我们过去没有见过这种将另一个无害应用程式新增到原有无害应用程式中，以进一步混淆恶意DLL侧载的特殊技术。

DLL侧载长期以来一直是这个地区一些最先进的攻击者喜欢使用的方法，我们观察到他们不仅继续使用这种方法，而且在外部改进它。同时需要注意的是，这些攻击组织（无论是有意还是无意地）会彼此分享攻击手法。

针对线上博弈这个社群的攻击方法通常是低调进行的，但是由於同侪意识，其他组织可能会采用和修改这种方法，并以完全不同的目的和受害者目标为目标。