menuPassは、笹川平和財団およびホワイトハウスに関連のある公式アドレスなどに送信者メールアドレスを偽装し、スピアフィッシングメールを送信しました。このスピアフィッシングは、標的および見せかけの送信者にふさわしい件名を使い、情報の入手を目的としていました。ホワイトハウス関連アドレスを装った攻撃では、「“[UNCLASSIFIED] The impact of Trump’s victory to Japan”([非機密扱い] トランプ氏勝利の日本への衝撃)」という件名が使われており、米大統領選の2日後に送信されました。これまでの学術研究者に対する攻撃の大多数は、関係する学術研究者の名前によるメールアドレスを用いていましたが、今回の一連の攻撃はこうした学術研究者とは表立った結び付きはありません。一方、スピアフィッシングの受信者は、学術関係者と関連するメールアドレスの持ち主でした。
これらの攻撃におけるC2インフラストラクチャは、大半が攻撃者によって登録されたもので、ごく少数のみがDynamic Domain Name System (ダイナミックドメインネームシステム - DDNS)のドメインを使っていました。一般的に、攻撃活動においてmenuPassはDDNSと攻撃者が登録したドメインを折り混ぜて使用しています。関連するハッシュおよびC2は、このブログ記事の参考情報に記載しました。
