Die von Cisco Talos beschriebene Infektionskette beginnt nach Einschätzung der Forscher mit Phishing per Social Engineering, auch wenn der ursprüngliche Zugangsweg nicht abschließend geklärt ist. Am Anfang steht die Ausführung eines PowerShell-Skripts, das ein Windows-Batch-Skript von einem entfernten Staging-Server nachlädt. Dieses sorgt wiederum für den Download einer schädlichen Windows-DLL, die je nach Fall “propsys.dll” oder “batmeter.dll” heißt.

Bei dieser DLL handelt es sich um die eigentliche Backdoor Dohdoor. Gestartet wird sie über legitime Windows-Programme wie “Fondue.exe”, “mblctr.exe” oder “ScreenClippingHost.exe” mittels DLL-Side-Loading. Über den so geschaffenen Zugang lädt der Schädling eine weitere Stufe direkt in den Arbeitsspeicher des Opfers und führt sie aus. Diese Nutzlast wird von Talos als Cobalt-Strike-Beacon eingeschätzt.

Für die Tarnung der C2-Kommunikation setzt der Akteur auf die Infrastruktur von Cloudflare. Laut Talos erscheint dadurch der gesamte ausgehende Verkehr vom Opfersystem als legitimer HTTPS-Datenverkehr zu einer vertrauenswürdigen globalen IP-Adresse. Diese Methode umgehe DNS-basierte Erkennungssysteme, DNS-Sinkholes sowie Werkzeuge zur Analyse des Netzwerkverkehrs, die auf verdächtige Domain-Abfragen achten. Zusätzlich hebt Dohdoor laut den Forschern System-Aufrufe aus ihren Hooks, um EDR-Lösungen zu umgehen, die Windows-API-Aufrufe über User-Mode-Hooks in der NTDLL.dll überwachen.

Raghuprasad zufolge infizierte der Angreifer mehrere Bildungseinrichtungen, darunter eine Universität mit Verbindungen zu weiteren Institutionen, was auf eine potenziell größere Angriffsfläche hindeute. Eine der betroffenen Stellen sei eine Gesundheitseinrichtung gewesen, konkret eine Pflegeeinrichtung für ältere Menschen. Hinweise auf einen Datenabfluss fanden die Forscher bis dato nicht. Abgesehen vom mutmaßlichen Cobalt-Strike-Beacon wurden keine finalen Nutzlasten beobachtet; auf Basis des Opferprofils gehen die Forscher davon aus, dass UAT-10027 wahrscheinlich von finanziellen Motiven getrieben ist.

Wer hinter der Aktivität steht, ist bislang unklar. Talos fand jedoch taktische Überschneidungen zwischen Dohdoor und LazarLoader, einem Downloader, der zuvor der nordkoreanischen Gruppe Lazarus in Angriffen gegen Südkorea zugeschrieben wurde. Zugleich weichen die Forscher von einer vorschnellen Zuordnung ab: Der Fokus auf Bildung und Gesundheitswesen passe nicht zum typischen Profil von Lazarus, das auf Kryptowährungen und den Verteidigungssektor ziele. Talos verweist allerdings darauf, dass nordkoreanische APT-Akteure den Gesundheitssektor bereits mit der Maui-Ransomware angegriffen hätten und die Gruppe Kimsuky auf den Bildungssektor abzielte — was Überschneidungen in der Opferauswahl mit anderen nordkoreanischen APT-Gruppen aufzeige.