Det menar Bart Parys som är Threat Intelligence Analysts på konsultföretaget PWC. 

 – Tidigare har de riktat in sig på organisationer eller individer i Taiwan, Tibet och Filippinerna, men i sin senaste kampanj verkar KeyBoy ha skiftat sitt fokus. Nu verkar det som att gruppen främst attackerar västerländska organisationer, troligtvis för att utöva företagsspionage, skriver han i ett blogginlägg. 

Det var nästan exakt ett år sedan den senaste aktiviteten från gruppen registrerades. Men nu har de upptäckts igen när de mailade ut Microsoft Word-dokument med DDE (Dynamic Data Exchange) som hade utformats för att hämta fjärranslutna nyttolaster.

Genom Word-dokumentet installeras det ett sabotageprogram (malware) medan popup-fönster är blockerade på datorn så att användaren inte upptäcker installationen. Skadeprogrammet som de använder är bland annat utformat för att ta skärmdumpar, samla systeminformation, bläddra och ladda ner filer.

Förra året använde de en liknande teknik för att samla information från det tibetanska parlamentet. 

Dokumentet som nu ska ha skickats ut till företag är döpt till "Q4 Work Plan.docx". 

Läs hela blogginlägget här.