Kaspersky araştırmacısı Denis Legezo, bu hafta yayınlanan teknik bir yazıda, "Bu, 'dosyasız' son aşama truva atının dosya sisteminde düz görüşten gizlenmesine izin veriyor." Dedi.
Bilinen bir aktöre atfedilmeyen gizli enfeksiyon sürecinin, hedeflenen hedeflerin Kobalt Strike ve Silent Break içeren sıkıştırılmış .RAR dosyalarını indirmeye yönlendirildiği Eylül 2021'de başladığına inanılıyor.
Düşman simülasyon yazılım modülleri daha sonra Windows sistem süreçlerine veya güvenilir uygulamalara kod enjekte etmek için bir başlatma paneli olarak kullanılır.
Ayrıca, araç setinin bir parçası olarak tespit önleyici sarmalayıcıların kullanılması da dikkate değerdir; bu, operatörlerin radarın altında uçma girişiminde bulunduğunu düşündürür.
