今年早些時候，一種名為Olympic Destroyer Wiper的惡意軟件曾短暫的干擾過韓國冬奧會�，F在它又帶著一種新類型的dropper變種回來了，有重要變化顯示表明其背后的APT組織發生了變化。
盡管名為Olympic Destroyer，但自今年2月以來，Olympic Destroyer早已將攻擊目標轉移到了奧林匹克賽事之外。該惡意軟件最初的傳播途徑，是靠其背后的APT組織大肆發送帶有惡意附件的魚叉式釣魚電子郵件來實現的。Check Point的研究人員表示，據他們觀測結果顯示，在惡意附件中，宏的復雜性隨著時間的推移而愈發增加，為了掩人耳目，Hades每個月都會出現新的版本。然而到了十月份，這個情況發生了變化。
Check Point的研究人員在最近發表的一篇文章中指出，
通過對字符串編碼方法以及一些其他常用指標的研究表明，大多數惡意文檔都是由同一個威脅行為者創建的，使用的是相同的混淆工具集，每月更改一次。但最新樣本顯示出了與Hades APT的宏通常所采用的、常規進化路徑的偏離，出現了一種全新的變種。
具體來講，就是該變種中引入了反分析和延遲執行等新特性，這些特性過去只在第二階段Wiper負載中使用。
Hades APT的doc文件和宏混淆器具有一些獨特的特征，通過這些特征，可將它們與其他dropper區分開來。例如，Hades大多數的dropper都包含了下列三個文檔作者簽名：James，John或AV。分析師表示，這些“指紋”對追蹤該組織的研究人員來說非常重要，因為它們很少見。在缺乏區別特征、代碼中內置了大量錯誤標志的情況下，卡巴斯基實驗室仍舊致力于識別此組織的特征。
Check Point的研究人員表示，
眾所周知，Hades利用公開的工具進行偵察和后期開發，這使得對攻擊第一階段的分析和檢測變得更加重要，這也是區分該組織與他人的行動，乃至追蹤其全球活動的方法之一。
Check Point說，
在Olympic Destroyer Wiper最近的一次更新中，用戶首先會看到一個空白頁面。一旦激活，宏就會將白色文本變為黑色，內容就會顯示出來。這份文件的文本是可以在網上找到的合法文件。接著宏本身執行沙箱規避;它檢索運行進程的列表，然后將其與流行的分析工具使用的進程進行比較，并計算總共有多少個正在運行的進程。這個過程計數對沙箱和分析環境很有效，因為通常有一些進程在運行。
在此之前，這些工作都是在舊版本的PowerShell階段進行的。最新的dropper能還將解碼的HTA文件寫入計算機的磁盤，并安排它在早上執行。HTA文件利用VBScript對下一級命令行進行解碼，使用與宏相同級別的技術和解碼器。
除了第一階段變化之外，Check Point的研究人員還發現了一些新情報，比如Hades的droppers使用受感染服務器作為第二階段命令和控制（C2）。
Check Point表示，
盡管人們對Hades的基礎設施知之甚少，但一些與他們C2相關聯的droppers暴露了一些服務器問題，這些問題表明受損的服務器僅充當代理，請求實際上被重定向到另一臺服務器，該服務器承載著Hades整個組織的后端。
總體而言，這些變化表明，為了避免被找到任何蛛絲馬跡，該組織在持續創新當中。之前在奧運會期間，Hades就操作了偽旗行動;而其最新的dropper也在隱匿著自己的行蹤。
Check Point的研究人員表示，
Hades沒有表現出放慢運作的跡象，他們的能力與他們的受害者名單一起增長。