安全厂商ESET发现，攻击者透过家用路由器以及中间人攻击（man-in-the middle，MitM）手法，对华硕网络硬盘服务WebStorage软件感染恶意软件。ESET安全研究人员Anton Cherepanov在今年4月，发现这波以Plead后门程序为感染源的攻击行动。这并不是Plead第一次被发现对台湾公司下手。去年7月Cherepanov也发现黑客组织BlackTech窃取友讯（D-Link）及全景软件的数字证书以签发散布Plead。

Plead为趋势科技于2014年首先揭露，专门针对台湾政府部门及中高阶主管下手，主要目的在窃取机密信息。BlackTech也会利用漏洞的路由器为跳板来散发Plead。虽然Plead主要以亚洲为间谍活动范围，但以台湾为最活跃地区。根据ESET研究人员的分析，华硕的WebStorage服务攻击牵涉其客户端软件（也名为ASUS WebStorage）。研究人员发现，Plead是由AsusWSpanel.exe产生并执行，而原理可能如同友讯案例一样，是华硕云端（ASUS Cloud Corporation）的凭证遭窃，而签发了冒名为Asus Webstorage Upate.exe的Plead可执行文件。

研究人员在过去研究中发现，大多数受影响的企业或部门都是使用同一家公司的路由器，且其管理接口都可由因特网存取，因此判断黑客在这次事件也可能经由路由器层，利用华硕的路由器将PLEAD散布到同网络的计算机上。至于这个过程为何会启动，关键即在中间人攻击。ASUS WebStorage客户端软件和服务器间的下载更新档过程，是经由HTTP建立呼叫联机及传送档案，这个软件在执行前不会验证下载文件的真实性。因此只要联机被攻击者拦截，就能引导它下载恶意档案。相关内文来源： http://www.www.ktnetks.com.tw

研究人员发现，攻击者修改了联机的二个指令元素，引导ASUS WebStorage连向台湾政府一个被入侵的gov.tw网域，下载恶意档案，而非华硕服务器提供的真实更新档。ASUS WebStorage在客户端部署Plead后，这个后门程序就扮演第一阶段的下载程序（downloader）。之后从外部服务器多阶段下载文件，包括一个Windows PE binary檔及DLL档，后者目的在和C&C服务器建立联机，执行窃密及安装TSCookie程序的任务。对华硕来说可谓祸不单行。三月底华硕更新服务传出遭名为ShadowHammer 行动的供应链攻击，其更新服务器被恶意软件入侵用来散布后门程序，时间可能长达5个月，受害计算机数量恐高达百万。ESET研究人员指出，近来的供应链和中间人攻击显示黑客手法更转趋狡猾，而且能造成更大规模的受害范围。这也说明了软件厂商不但要防范其开发环境被入侵，还要使用更安全的产品更新机制，以防止中间人攻击。