趋势科技发布报告指出，网络间谍组织“Tick”使用隐写术能够够更好地隐藏后门木马。

Tick（又称为Bronze Butler和REDBALDKNIGHT）将主要目标瞄向日本的组织机构，包括生物科技、电子制造、工业化学实体和政府机构，以及围绕关键基础设施、重工业、制造业以及国际关系方面展开攻击活动，旨在窃取企业知识产权与其机密信息。

趋势科技的研究人员表示，该组织已经活跃了十年之久。戴尔旗下安全公司Secureworks 事件响应与反威胁单位 （简称CTU ）的研究人员认为，Tick组织可能位于中国。

Tick首选的恶意工具包括下载器“Gofarer”和数据窃取木马“Daserf”。这款木马能执行Shell命令，下载并上传数据。趋势科技表示，攻击者利用Daserf的变种攻击日本以外的企业，包括韩国、俄罗斯、新加坡和中国的组织机构。

此外，趋势科技的安全研究人员表示，Daserf多个版本利用不同的技术和隐写术，在意想不到的媒介（例如图像）中嵌入代码隐藏自己。

该间谍组织通常使用鱼叉式网络钓鱼邮件发起攻击，在邮件中附加使用日语文字处理器Ichitaro创建的恶意文档，而这些文档会在受害者设备上安装并执行Daserf后门。

研究人员认为，Tick会定期改进Daserf木马，提升隐蔽性。

趋势科技表示，一些恶意软件变种还显示，该组织融合隐写术执行第二阶段的攻击，并与命令与控制服务器（C&C Server）通信。有了隐写术加持，这个后门不仅能绕过防火墙，还能更快速更换第二阶段的C&C通信或恶意软件。

Daserf的感染链包括一个下载器：负责从一个被感染的站点检索这款后门。下载器安装完成后，Daserf会连接到另一个被感染站点，并下载图像文件，然后连接到C&C服务器等待后续命令。

趋势科技指出，Tick间谍组织还在另外两个Toolkit上使用隐写术：xxmm2_builder和xxmm2_steganography——是XXMM（TROJ_KVNDM）下载器木马的组件。研究人员发现，XXMM和Daserf使用了相同的隐写术算法。

隐写术对有目的性的网络攻击相当有用：恶意活动隐藏得越久，窃取数据的就会越多。恶意分子善用使用各种途径，包括漏洞利用工具、恶意广告活动、银行木马、勒索软件等。Tick将恶意软件与隐写术结合能有利地躲避检测和分析。

此前E安全发表过一篇关于黑客组织Bronze Butler的报道，其会定期进行以下操作：

定期进行互联网扫描，旨在发现易受攻击的主机。

BRONZE BUTLER为每款工具配备特定的 C&C 服务器，同时会定期更改 C&C 服务器。该组织的 C&C 服务器中有很大一部分位于日本。

该组织会定期更改各已入侵网络的 C&C IP地址与域名，从而限制其基础设施被列入黑名单的可能性。

在自网络中提取目标数据后，BRONZE BUTLER通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力，定期重新访问目标站点，借以发现新的数据窃取机会。