據外媒ZDNet報導，隨著SolarWinds供應鏈攻擊事件後的取證證據慢慢被發掘出來，安全研究人員發現了第二個威脅行為體，它利用SolarWinds軟件在企業和政府網絡上植入惡意軟件。關於這第二個威脅行為體的細節仍然很少，但安全研究人員認為這第二個實體與疑似俄羅斯政府支持的入侵SolarWinds的黑客組織沒有關係，後者在Orion應用內植入惡意軟件。

原始攻擊中使用的惡意軟件代號為Sunburst（或Solorigate），作為Orion應用的“booby-trapped”（詭雷代碼）更新交付給SolarWinds客戶。在受感染的網絡上，惡意軟件會ping其創建者，然後下載名為Teardrop的第二個階段性後門木馬，允許攻擊者開始動手操作鍵盤會話，也就是所謂的人為操作攻擊。

但在SolarWinds黑客事件公開披露後的頭幾天，最初的報告提到了兩個第二階段的有效載荷。來自Guidepoint、賽門鐵克和Palo Alto Networks的報告詳細介紹了攻擊者如何同時植入一個名為Supernova的.NET web shell。

安全研究人員認為攻擊者是利用Supernova webshel​​l來下載、編譯和執行一個惡意Powershell腳本（有人將其命名為CosmicGale）。

然而，在微軟安全團隊的後續分析中，現在已經澄清Supernova網頁殼並不是原始攻擊鏈的一部分。他們發現Supernova安裝在SolarWinds上的公司需要將此次事件作為一個單獨的攻擊事件來處理。

根據微軟安全分析師Nick Carr在GitHub上的一篇文章，Supernova webshel​​l似乎被種植在SolarWinds Orion安裝上，這些安裝已經暴露在網上，並被利用類似於追踪為CVE-2019-8917的漏洞。

Supernova與Sunburst+Teardrop攻擊鏈有關的困惑來自於，和Sunburst一樣，Supernova也被偽裝成了獵戶座應用的DLL–Sunburst隱藏在SolarWinds.Orion.Core.BusinessLayer.dll文件內，Supernova則隱藏在App_Web_logoimagehandler. ashx.b6031896.dll內。

但在12月18日週五晚些時候發布的分析報告中，微軟表示，與Sunburst DLL不同，Supernova DLL並沒有使用合法的SolarWinds數字證書進行簽名。

Supernova沒有被簽名這一事實被認為是攻擊者極不正常的行為，在此之前，攻擊者在操作上表現出了非常高的複雜性和對細節的關注。

這包括花幾個月時間在SolarWinds的內部網絡中不被發現，提前在Orion應用中添加虛擬緩衝區代碼以掩飾日後添加惡意代碼，並將他們的惡意代碼偽裝成SolarWinds開發人員自己編寫的樣子。

這些似乎都是太明顯的錯誤，最初的攻擊者不會這麼做，因此，微軟認為這個惡意軟件與最初的SolarWinds供應鏈攻擊無關。