自2021年9月以来，已经发现多达85个指挥和控制(C2)服务器受到ShadowPad恶意软件的支持，最近在2022年10月16日检测到基础设施。

　　这是根据VMware的威胁分析小组(TAU)的数据，该小组研究了使用TCP、UDP和HTTP(S)协议进行C2通信的三种ShadowPad变体。

　　ShadowPad被视为PlugX的继任者，是一个模块化的恶意软件平台，自2015年以来被多个中国国家支持的行为者私下分享。

　　VMware说，对这三个ShadowPad工件的分析使我们有可能通过扫描一个名为ZMap的工具生成的开放主机列表来发现C2服务器，这三个工件之前已被Winnti、Tonto Team和一个代号为Space Pirates的新兴威胁集群所使用。

　　该公司进一步披露，它发现了与ShadowPad C2 IP地址通信的Spyder和ReverseWindow恶意软件样本，它们都是APT41(又名Winnti)和LuoYu投入使用的恶意工具。

　　此外，还观察到上述Spyder样本与该威胁行为者的Winnti 4.0木马的一个工人组件之间有重叠。

　　"VMware TAU的高级威胁研究员Takahiro Haruyama说："在互联网上扫描APT恶意软件C2有时就像在干草堆里找一根针。"然而，一旦C2扫描成功，它可以成为改变游戏规则的最主动的威胁检测方法之一"。