趋势科技针对中国骇客组织BlackTech（他们将称为Earth Hundun）提出警告，指出近期针对科技业、研究机构、政府机关的网路攻击，出现显着增加的现象，而且，这些攻击行动运用名为Waterbear的后门程式，其中最新版本的变种程式特别获得独立命名，称为Deuterbear。

研究人员指出，Waterbear是结构极为複杂的武器，具有广泛的反除错、反沙箱、迴避防毒软体能力。

到了2022年，这些骇客改用名为Deuterbear的新版后门程式，研究人员发现其解密流程与配置的结构出现重大变化，其下载、载入恶意程式的功能有明显不同。

以下载模组的部分为例，攻击者导入HTTPS隧道来处理流量，并利用处理程序执行时间检查除错模式、透过API及睡眠模式来侦察是否于沙箱环境。此外，该模组也具备反记忆体扫描的侦测功能。

研究人员指出，该后门程式藉由特定的金钥对所有功能模组进行加密处理，并使用新的虚拟记忆体区块来执行被呼叫的功能，从而迴避相关侦测。

研究人员指出，对方在受害电脑部署恶意程式的流程相当複杂、隐密。有别于Waterbear传送金钥供C2验证，成功后就接受恶意程式，他们看到攻击者在下载RAT木马程式的过程中，Deuterbear先是与C2建立HTTPS连线，然后传送RC4私钥，并验证C2回传的金钥，确认后才发出下载请求、取得RAT程式的大小并下载。