Если раньше используемое группировкой ПО пыталось обойти обнаружение путем отключения некоторых функций в облачных решениях безопасности, то теперь оно деинсталлирует эти решения полностью. По словам исследователей, киберпреступники добавили в программу код для получения административного доступа к инфицированному серверу и удаления пяти разных сервисов безопасности от Tencent Cloud и Alibaba Cloud: Alibaba Threat Detection Service; Alibaba Cloud Monitor; Alibaba Cloud Assistant; Tencent Host Security и Tencent Cloud Monitor.
Как отмечают исследователи, данный вредонос является первым, обладающим уникальной способностью удалять с атакуемой системы облачные решения безопасности. Он запрограммирован на удаление вышеупомянутых сервисов строго в соответствии с инструкциями по их удалению, опубликованными на официальных сайтах Tencent Cloud и Alibaba Cloud. То есть, вредоносу не нужно взламывать сервисы, он удаляет их легитимным путем в соответствии с инструкциями.