На стартовой "rule PAS_TOOL_PHP_WEB_KIT" - это не способ взлома, а правило для тулзы YARA, для поиска внедренного кита. Они тама циркуляр выпсутили, с подобными правилами на поиск (по хешам файлов) и списком из почти 800 айпишников. И рекомендация всем провериться: если админ видит в логах доступ с айпишника из списка, то надо бить тревогу.
А параметры, почему это "рюсские хакиры" - вообще дно. Типа тулкит, которым ломали, популярен среди российских и украинских (!) хакеров, а так же время взлома - рабочее время в России (и пох, что ломать лучше, когда у пендосов ночь - больше вероятность, что админ не заметит, кто же виноват, что в России в это время - рабочее). Ну и ники хакеров: Tsar и вариации медведей - это 146% гарантия, что русские.
Не знаю кому как, но для официальных обвинений на уровне государство-государство - это детский сад.