近期，法國安全研究者兼 BotConf 和 FastIR創始人Sebastien Larinier繼續發布線索，聲稱中國黑客組織Goblin Panda曾針對柬埔寨和韓國發起了APT攻擊。在這篇文章中，Sebastien披露了Goblin Panda針對柬埔寨APT攻擊中所所使用的惡意文檔。
惡意文檔相關信息
RTF文檔
SHA256: 9d0c4ec62abe79e754eaa2fd7696f98441bc783781d8656065cddfae3dbf503e
攻擊者利用該文檔，可在目標系統中生成一個合法文件。
核心的遠控程序（RAT）
SHA256: 77361b1ca09d6857d68cea052a0bb857e03d776d3e1943897315a80a19f20fc2
dll文件
SHA256: 4a5bf0df9ee222dac87e2f1b38b18660ebb92de8ba3f1cbc845f945a766dd6a6
C2
dll文件會回連域名weather.gbaycruise.com，該域名對應IP為103.193.4.106，它與早前Sebastien發現的中國黑客組織針對越南政府APT攻擊的另一使用IP地址103.193.4.115，有多處網絡架構重合。

另外有意思的是，對柬對越攻擊中用到的所有域名都是通過注冊機構NAMECHEAP INC注冊的，并且使用的是同一個域名服務器，同時，其中一個SHA256為0e32ce9e0c309859fd0d1193f54cad0dde7928053795892a0f6c8c96cbf6753d的dll文件，還會回連域名baoin.baotintu.com。

Sebastien認為，綜合7月份FireEye發布的報告來看，他判斷這個惡意文檔是Goblin Panda用來攻擊柬埔寨政府的。
FireEye曾經披露的報告要素
今年7月，FireEye披露調查線索，懷疑中國黑客組織TEMP.Periscope在柬埔寨大選前，意圖入侵柬埔寨政府獲取柬埔寨大選相關信息。FireEye的調查要點如下：
攻擊者用 chemscalere[.]com 和 scsnewstoday[.]com兩個域名作為C2回連域名，并在上面架設了網頁服務；另外，還利用第三個域名 mlcdailynews[.]com作為用途為SCANBOX的網站服務；攻擊者利用的C2域名服務器中留下了一些日志記錄和用到的惡意軟件。
FireEye通過反入侵以上三個服務器，獲取了其中的日志和其它相關信息，得出以下初步結論：
攻擊者從隸屬中國海南的某個IP地址遠程登錄和控制以上服務器，針對目標系統的惡意軟件植入、命令控制和數據獲取進行掌控；
攻擊者的入侵已經成功滲透到柬埔寨相關的教育、航空、化工、國防、政府、海事和科技等領域的多個部門；
FireEye經過識別，已經通知了所有的受害者單位；
攻擊者在入侵中還使用了新系列的惡意軟件：DADBOD 和 EVILTECH，之前被識別的惡意軟件系列為AIRBREAK、EVILTECH、HOMEFRY、MURKYTOP、HTRAN和SCANBOX。
FireEye通過C2服務器上的命令控制記錄，還得到了一些針對7月底柬埔寨大選進行網絡攻擊的線索：
FireEye發現了一封針對柬埔寨反對派人士的釣魚郵件；
FireEye發現多個柬埔寨政府實體受到攻擊，包括柬埔寨的國家選舉委員會、內政部、外交和國際合作部、柬埔寨參議院、經濟和財政部；
FireEye發現柬埔寨國家救援黨多個議員、人權和民主倡導人士和兩名柬埔寨海外外交官成為攻擊者目標；
FireEye發現多個柬埔寨媒體機構成為攻擊者目標。
其它發現
Sebastien Larinier綜合FireEye的上述報告，他自己又發現了一個與此攻擊相關的新的惡意文檔，c0b8d15cd0f3f3c5a40ba2e9780f0dd1db526233b40a449826b6a7c92d31f8d9，該惡意文檔回連的IP地址為103.243.175.181，該IP地址還可關聯到另一域名update.wsmcoff.com，其對應的IP地址為185.174.173.157，最終，IP地址185.174.173.157會與FireEye報告中的C2服務器chemscalere.com發生關聯行為。

因此，綜合以上發現，Sebastien Larinier認為，update.wsmcoff.com也是TEMP.Periscope使用的網絡攻擊架構之一，Goblin Panda和TEMP.Periscope都曾對柬埔寨政府發起網絡攻擊，它們兩個組織之間有著多個相同的技術能力特點。