Experts han descobert una campanya de programari maliciós inusual. Utilitza registres d’esdeveniments de Windows per emmagatzemar programari maliciós.

A més, els atacants empren una àmplia gamma de tècniques, incloses SilentBreak i CobaltStrike, eines legals de prova de penetració. La cadena d’infecció també inclou un conjunt complet de mòduls auxiliars, inclosos els escrits a Go.

Es fan servir per dificultar la detecció de troians d’últim nivell. Anteriorment, els experts no havien vist la tècnica d’ocultar codi maliciós dins dels registres d’esdeveniments de Windows. El mòdul de l’arxiu descarregat per la víctima és responsable de la infecció primària del sistema.

Alguns arxius estan signats amb un certificat digital per augmentar la seva confiança. Aquesta cadena acaba amb diversos troians per al control remot de dispositius infectats. Es diferencien tant en la forma en què es transmeten els comandaments (HTTP o canalitzacions amb nom) com en el seu conjunt.

Algunes versions de troians tenen dotzenes d’aquests comandaments. A més d’usar dues eines comercials alhora i una gran quantitat de mòduls, el shellcode encriptat s’emmagatzema en el registre d’esdeveniments de Windows. Aquesta tècnica per ocultar la presència de programari maliciós en el sistema podria afegir-se a la matriu MITRE.