趋势科技针对中国骇客组织BlackTech（他们将称为Earth Hundun）提出警告，指出近期针对科技业、研究机构、政府机关的网路攻击，出现显著增加的现象，而且，这些攻击行动对方运用了名为Waterbear的后门程式，其中最新版本的变种程式Deuterbear引起了他们的注意。

研究人员指出，Waterbear是结构极为复杂的武器，具有广泛的反除错、反沙箱、回避防毒软体能力。

到了2022年，这些骇客改用名为Deuterbear的新版后门程式，研究人员发现其解密流程与配置的结构出现重大变化，其下载、载入恶意程式的功能有明显不同。

以下载模组的部分为例，攻击者导入HTTPS隧道来处理流量，并利用处理程序执行时间检查除错模式、透过API及睡眠模式来侦察是否于沙箱环境。此外，该模组也具备反记忆体扫描的侦测功能。

研究人员指出，该后门程式借由特定的金钥对所有功能模组进行加密处理，并使用新的虚拟记忆体区块来执行被呼叫的功能，从而回避相关侦测。

他们看到攻击者在下载RAT木马程式的过程中，Deuterbear先是与C2建立HTTPS连线，然后传送RC4私钥，并验证C2回传的金钥，确认后才发出下载请求、取得RAT程式的大小并下载。