De aanvallen via een nieuw zero-day beveiligingslek in Adobe Reader lijken het werk van de hackers die begin dit jaar bij Google wisten in te breken. Volgens Karthik Selvaraj van Symantec was het zo goed als zeker dat de bende achter Trojan.Hydraq niet verdwenen was. "Het lijkt erop dat ze terug zijn." Hij doelt dan op de PDF-aanval via een Adobe Reader zero-day die vorige week werd gerapporteerd.

De e-mail met de kwaadaardige PDF als bijlage, had als onderwerp “David Leadbetter’s One Point Lesson”. De exploit in kwestie gebruikt return-oriented programming (ROP) om de Data Execution Prevention (DEP) beveiligingsmaatregel van Windows te omzeilen. De module die de aanvallers hiervoor misbruiken, icucnv36.dll, is niet compatibel met Address Space Layout Randomization (ASLR), wat het maken van een betrouwbare exploit vereenvoudigt.

China
De stijl van de gebruikte e-mails lijkt erg op die van de Hydraq-aanvallen, aldus Selvaraj. "Het gebruik van een zero-day binnen een PDF bestand en de manier waarop de executable op het systeem wordt geplaatst, komen overeen met de manier waarop Hydraq werkt." Daarnaast zag Symantec een groot aantal unieke versies van de kwaadaardige PDF die van een enkele computer in de Chinese Shandong provincie afkomstig waren. Deze PDF-bestanden waren nog nergens anders in het wild gezien.

Ook het onderzoek naar de Hydraq-aanvallen leidde naar de Shandong provincie. "Al deze overeenkomsten kunnen toeval zijn, maar deze aanvallen lijken het werk van dezelfde daders." De eerste e-mails met de exploit dateren van 1 september 2010, wat Selvaraj doet vermoeden dat de aanval al zeker twee weken oud is en mogelijk nog veel ouder.