ក្រុមអ្នកស្រាវជ្រាវសុវត្ថិភាពនៅ Kaspersky រកឃើញនូវថា ក្រុមហេគឃ័រ APT ដែលចាប់ផ្តើមប្រតិបត្តិការតាំងពីឆ្នាំ 2012 មិនត្រូវគេកត់សម្គាល់ឃើញនោះទេដោយសារតែវាមានការប្រើប្រាស់នូវបច្ចេកទេស និងការហេគដ៏ស្មុគស្មាញនោះ។ ក្រុមហេគឃ័រនេះប្រើប្រាស់នូវមេរោគកម្រិតខ្ពស់ដែលមានឈ្មោះថា Slingshot ដែលឆ្លងទៅកាន់ជនរងគ្រោះរាប់រយពាន់នាក់នៅក្នុងតំបន់មជ្ឈឹមបូព៌ា និងអាព្រិកតាមរយៈការហេគទៅលើ Routers នោះ។
យោងទៅតាមរបាយការណ៍ 25 ទំព័រដែលចេញផ្សាយដោយ Kaspersky Labs នោះ ក្រុមហេគឃ័រមួយនេះប្រើប្រាស់នូវចំណុចរងគ្រោះនៅលើ Router ចេញពីឧបករណ៍ network hardware provider Mikrotik ដើម្បីធ្វើការចែកចាយមេរោគ Spyware ទៅកាន់កុំព្យូទ័ររបស់ជនរងគ្រោះនោះ។
បើទោះបីជាវានៅមិនទាន់ច្បាស់ថាតើក្រុមហេគឃ័រនេះធ្វើការហេគទៅលើ Routers ដោយរបៀបណានោះ ក្រុមហ៊ុន Kaspersky ក៏ចង្អុលទៅកាន់ WikiLeaks Vault 7 CIA ដែលទម្លាយទៅលើចំណុចរងគ្រោះនៃ ChimayRed ដែលពេលនេះដំណើរការនៅលើ GitHub ដើម្បីចូលទៅកាន់ Mikrotik routers នោះ។
នៅពេលដែលអ្នកវាយប្រហារចូលទៅកាន់ Router បាននោះ ពួកគេនឹងធ្វើការជំនួសនូវ DDL (dynamic link libraries) file ជាមួយនឹងមេរោគនៅក្នុង File System ដែលដំណើរការដោយផ្ទាល់ទៅក្នុងម៉េមូរីកុំព្យូទ័ររបស់ជនរងគ្រោះនៅពេលដែលអ្នកប្រើប្រាស់ដំណើរការនូវកម្មវិធី Winbox Loader software នោះ។
Winbox Loader គឺជា Tools សម្រាប់គ្រប់គ្រងមួយរចនាឡើងដោយក្រុមហ៊ុន Mikrotik សម្រាប់អ្នកប្រើប្រាស់នៅលើ Windows ជាមួយនឹងភាពងាយស្រួលក្នុងការភ្ជាប់ទៅកាន់ Routers នឹងធ្វើការដោនឡូតទៅលើ DLL files ចេញពី Routers និងការដំំណើរការនូវ Files ទាំងនោះនៅលើ System តែម្តង។ នៅពេលដែលមេរោគ DLL file ដំណើរការនៅលើកុំព្យូទ័ររបស់ជនរងគ្រោះដែលជាគោលដៅ នោះវានឹងធ្វើការភ្ជាប់ទៅកាន់ Remote Server ដើម្បីធ្វើការដោនឡូតនូវមេរោគ Slingshot malware ។ មេរោគ Slingshot malware មានប្រើប្រាស់នូវ Modules ចំនួន 2 គឺ Cahnadr (kernel mode module) និង GollumApp (user mode module) ។
ជនរងគ្រោះភាគច្រើនគឺជាបុគ្គលិក និងអង្គការរដ្ឋាភិបាលមកពីប្រទេសជាច្រើនដូចជាប្រទេសកេនយ៉ា យេម៉ែន លីប៊ី អាហ្វហ្គានីស្ថាន អ៊ីរ៉ាក់ តង់ហ្សានី ហ្ស៊កដានី ម៉ូរីស សូម៉ាលី សាធារណរដ្ឋប្រជាធិបតេយ្យកុងហ្គោ ទួរគី ស៊ូដង់ និងអារ៉ាប់អេមីរ៉ាត៕