Атаки начинаются с поиска SQL-инъекций в веб-приложениях, что позволяет злоумышленникам проникать во внутренние базы данных жертв. Дополнительно используются уязвимости публичных серверов: в арсенале Earth Lamia замечены восемь различных эксплойтов, среди которых критические дыры в Apache Struts2 ( CVE-2017-9805 ), GitLab ( CVE-2021-22205 ), WordPress File Upload ( CVE-2024-9047 ), JetBrains TeamCity ( CVE-2024-27198 ), CyberPanel ( CVE-2024-51378 и CVE-2024-51567 ) и Craft CMS ( CVE-2024-56145 ). Особенно выделяется CVE-2025-31324 — свежая уязвимость SAP NetWeaver, открывающая атакующим путь к удалённому управлению сервером через загрузку вредоносных файлов.
В зависимости от выбранной жертвы группа применяет широкий набор инструментов: для повышения привилегий используются GodPotato и JuicyPotato, для сканирования инфраструктуры — Fscan и Kscan, а для сокрытия следов — штатные средства Windows, такие как «wevtutil.exe», очищающие журналы событий. Часто атакующие развёртывают постэксплуатационные фреймворки Cobalt Strike и Supershell, а также создают прокси-туннели через Rakshasa и Stowaway. Об этом пишет Securitylab.
Некоторые кампании в Индии сопровождались попытками внедрения шифровальщика Mimic, однако добиться массового шифрования файлов преступникам не удалось — в ряде случаев они даже удаляли свои бинарные файлы после неудачных запусков.
По наблюдениям специалистов Trend Micro, активность Earth Lamia постоянно эволюционирует. Изначально группа делала ставку на финансовый сектор — в частности, брокерские и инвестиционные компании. Однако во втором полугодии 2024 года её фокус сместился на логистику и онлайн-ритейл, а сейчас главными мишенями становятся ИТ-компании, университеты и государственные учреждения.
Характерная черта Earth Lamia — внедрение собственных бэкдоров семейства PULSEPACK с помощью DLL Sideloading — популярной среди китайских группировок техники. Сам бэкдор написан на .NET, его функциональность расширяется за счёт подгружаемых плагинов, а коммуникация с управляющим сервером в последних версиях перешла с TCP на WebSocket, что говорит о постоянном развитии вредоносного инструмента.