« Nous avons découvert et analysé ces outils pour la première fois en 2022. Nous avons observé une nouvelle version comportant quelques modifications, déployées sur les machines compromises en 2023 et en 2024 », explique Facundo Muñoz, chercheur chez ESET, qui a analysé Spellbinder et WizardNet. « Nos recherches ont permis d’identifier un outil conçu pour réaliser des attaques de type "homme du milieu" en exploitant l’usurpation d’identité IPv6 SLAAC. Ce procédé intercepte et manipule les paquets réseau, permettant aux attaquants de rediriger le trafic et de diffuser des mises à jour malveillantes vers des logiciels légitimes », précise Muñoz.

La charge finale, nommée par les chercheurs d’ESET WizardNet, est un implant modulaire qui se connecte à distance pour exécuter des modules .NET sur la machine compromise. Les chercheurs ont analysé un cas récent en 2024, où la mise à jour du logiciel Tencent QQ a été détournée. Cette version de WizardNet prend en charge cinq commandes, dont trois permettent d’exécuter des modules en mémoire, étendant ses capacités sur le système compromis.

Des liens semblent exister entre TheWizards et l’entreprise chinoise Dianke Network Security Technology (UPSEC), fournisseur de la porte dérobée DarkNights. Selon le NCSC britannique, cette dernière cible notamment les communautés tibétaines et ouïghoures. Bien que TheWizards utilise WizardNet, son serveur est également configuré pour déployer DarkNights sur les appareils Android.