Chiến dịch này bao gồm ba nhóm tấn công, được theo dõi với tên: Nhóm Alpha (STAC1248), Nhóm Bravo (STAC1870), và Nhóm Charlie (STAC1305). STAC là viết tắt của "security threat activity cluster" (cụm hoạt động đe dọa an ninh). Được biết các nhóm đối tượng đã khai thác hệ thống của các tổ chức và mạng lưới dịch vụ công trong khu vực để phát tán mã độc và công cụ độc hại, ngụy trang dưới các điểm truy cập tin cậy.

Một điểm đáng chú ý của chiến dịch là việc sử dụng hệ thống của một tổ chức làm điểm chuyển tiếp C&C và nơi lưu trữ công cụ tấn công. Đồng thời, một máy chủ Microsoft Exchange bị xâm nhập của một tổ chức khác đã bị lợi dụng để lưu trữ mã độc.

Trong giai đoạn đầu của các cuộc tấn công diễn ra vào tháng 03/2024 được thực hiện bởi nhóm Bravo, cách hoạt động của nhóm này có nhiều điểm chung với nhóm APT Unfading Sea Haze. Đến khoảng thời gian từ tháng 01/2024 đến tháng 6/2024, một làn sóng tấn công mới của nhóm này đã nhắm vào 11 tổ chức và cơ quan trong khu vực.

Các chuyên gia bảo mật cũng ghi nhận một đợt tấn công khác từ nhóm Charlie (còn gọi là APT Earth Longzhi) được thực hiện từ tháng 9/2023 đến tháng 6/2024. Nhóm này đã sử dụng các framework C&C như Cobalt Strike, Havoc, và XieBroC2 để thực hiện các hành vi độc hại sau khai thác và phát tán các payload bổ trợ như SharpHound nhằm lập bản đồ hạ tầng Active Directory.

Mặc dù mục tiêu chính vẫn là thu thập dữ liệu, tuy nhiên, nhóm Charlie đã tập trung nhiều hơn vào việc thiết lập lại và mở rộng sự xâm nhập vào hệ thống mạng bằng cách vượt qua lớp bảo mật từ phần mềm EDR và khôi phục kết nối khi các cài đặt C&C trước đó bị chặn.

Một yếu tố đáng chú ý khác là việc nhóm Charlie chủ yếu sử dụng kỹ thuật DLL hijacking để thực thi mã độc, một kỹ thuật thường được nhóm Alpha sử dụng, cho thấy có sự chia sẻ kỹ thuật giữa các nhóm tấn công. Các đối tượng tấn công còn sử dụng phần mềm mã nguồn mở như RealBlindingEDR và Alcatraz để vô hiệu hóa các quy trình chống virus và làm mờ các file thực thi (như .exe, .dll, và .sys), nhằm mục đích tránh bị phát hiện.

Cuối cùng, các chuyên gia bảo mật đã ghi nhận mã độc keylogger mới có tên TattleTale, lần đầu xuất hiện vào tháng 8/2023. Mã độc này có khả năng thu thập dữ liệu từ các trình duyệt Google Chrome và Microsoft Edge, đồng thời thu thập tên domain controller và đánh cắp LSA (Local Security Authority) Query Information Policy, nơi chứa thông tin nhạy cảm như chính sách mật khẩu, cài đặt bảo mật và mật khẩu lưu trữ.

Tóm lại, chiến dịch "Crimson Palace" bao gồm ba nhóm tấn công phối hợp với nhau, mỗi nhóm đảm nhiệm một giai đoạn trong chuỗi tấn công: xâm nhập và thu thập thông tin (Nhóm Alpha), thâm nhập sâu vào hệ thống bằng các cơ chế C&C (Nhóm Bravo), và đánh cắp dữ liệu (Nhóm Charlie). Theo nhận định của các chuyên gia, trong suốt quá trình thực hiện chiến dịch, các nhóm tấn công đã liên tục thử nghiệm và nâng cao các kỹ thuật, công cụ. Khi các biện pháp đối phó được triển khai, chúng kết hợp công cụ tự phát triển với các công cụ mã nguồn mở thường được sử dụng bởi các chuyên gia kiểm thử an ninh mạng để duy trì quyền truy cập.