Группа использовала необычный метод закрепления в инфраструктуре: участники создавали специфические задания (таски) в планировщике задач (поэтому группировка получила название TaskMasters). Планировщик задач позволяет выполнять команды ОС и запускать ПО в определенный момент времени, указанный в задаче. Используемый кибергруппировкой планировщик AtNow позволяет выполнять задачи не только локально, но и на удаленных компьютерах сети, и делать это независимо от временных настроек этих узлов. Кроме того, эта утилита не требует установки. Все это упрощает автоматизацию атаки.
«После проникновения в локальную сеть злоумышленники исследуют инфраструктуру, эксплуатируют уязвимости, загружают на скомпрометированные узлы вредоносные программы и удаленно используют их для шпионажа, — рассказывает Алексей Новиков, директор экспертного центра безопасности Positive Technologies. — Обнаружить подобные атаки можно с помощью специализированных средств защиты, в том числе PT Network Attack Discovery, а для анализа атак и их предотвращения необходимо привлекать профессионалов в расследовании киберинцидентов».
Эксперты Positive Technologies предполагают, что члены группы TaskMasters могут быть жителями стран Азии. В коде используемых ими инструментов встречаются упоминания китайских разработчиков, во время некоторых атак были зафиксированы подключения с IP-адресов из Китая, а ключи для некоторых версий программ можно обнаружить на форумах, где общаются жители этой страны. Помимо этого, многие утилиты из пакета TaskMasters содержат сообщения об ошибках и другую отладочную информацию, написанные на английском языке с ошибками, что указывает на то, что он не является для разработчиков родным языком.