一個被追蹤為Earth Lusca的復雜難以捉摸的威脅行為者出于財務目的，通過魚叉式網絡釣魚和水坑攻擊將全球政府和私人組織作為目標。

據安全公司稱，該組織出于經濟動機，其網絡間諜活動打擊了高價值目標，例如政府和教育機構、宗教運動、新型冠狀病毒研究組織、賭博、加密貨幣公司和媒體。

Winnti組織于2013年首次被卡巴斯基發現，但據研究人員稱，該組織自2007年以來一直活躍。專家們認為，在 Winnti 旗下有幾個APT 組，包括 Winnti、Gref、PlayfullDragon、APT17、 DeputyDog、Axiom、 BARIUM、LEAD、 PassCV、Wicked Panda、Group 72、Blackfly、APT41 和 ShadowPad。

APT小組針對各個行業的組織，包括航空、游戲、制藥、技術、電信和軟件開發行業。研究人員將地球盧斯卡的基礎設施分為兩個“集群”。第一個集群是使用租用的虛擬專用服務器 (VPS) 建立的，用于水坑和魚叉式網絡釣魚攻擊。

第二個集群由運行易受攻擊版本的 Oracle GlassFish Server 的受感染服務器組成，主要用于掃描面向公眾的服務器中的漏洞，并在目標網絡內建立流量隧道。兩個集群都充當 C&C 服務器。

根據遙測數據顯示，Earth Lusca 發送魚叉式網絡釣魚電子郵件，其中包含指向其目標媒體公司的惡意鏈接。這些鏈接包含的文件偽裝成潛在目標可能感興趣的文件，或者偽裝成據稱來自另一家媒體組織的意見表。閱讀趨勢科技發布的分析。用戶最終會下載一個包含惡意 LNK 文件或可執行文件的存檔文件——最終導致 Cobalt Strike 加載程序。

觀察到威脅參與者在受感染的網絡中部署了Cobalt Strike，以及一組額外的惡意軟件和 Web Shell。該組織還在其運營中使用了其他工具，例如加密貨幣礦工。

在研究人員分析的其中一次攻擊中，威脅參與者將惡意腳本注入目標組織的受感染人力資源系統中。該腳本顯示社交工程消息，例如 Flash 更新彈出窗口或 DNS 錯誤，并嘗試誘騙受害者下載惡意文件并部署 Cobalt Strike 加載程序。

有證據表明，地球盧斯卡是一個高技能和危險的威脅行為者，主要受網絡間諜活動和經濟利益的驅使。然而，該組織仍然主要依靠久經考驗的技術來誘捕目標，雖然這有其優勢(這些技術已被證明是有效的)，但它也意味著安全最佳實踐，例如避免點擊可疑的電子郵件/網站鏈接和更新重要的面向公眾的應用程序，可以最大限度地減少影響——甚至停止——地球盧斯卡襲擊。