ESET 的研究人员披露了利用中国流行应用程序更新机制的网络攻击行动 。攻击者的活跃时间至少始于 2018 年。

他们首先利用 AitM 劫持 WPS Office、腾讯 QQ 和 搜狗拼音 等软件的更新请求（受害应用与更新服务器间使用未加密的HTTP通信），并植入恶意程序。攻击主要针对中国和日本的公司。NSPX30 为多级架构，能将自己添加到安全软件的白名单中。

它的主要功能是收集信息，还能窃取腾讯QQ、微信、Telegram、Skype、YY 和淘宝旺旺等IM的聊天记录和联系人列表。后门程序可以通过pid终止指定进程，或将自己卸载。

来源:
solidot (https://www.solidot.org/story?sid=77230)
bleepingcomputer (https://www.bleepingcomputer.com/news/security/blackwood-hackers-hijack-wps-office-update-to-install-malware/)
welivesecurity (https://www.welivesecurity.com/en/eset-research/nspx30-sophisticated-aitm-enabled-implant-evolving-since-2005/)