Nach der Analyse von Fortinet FortiGuard Labs legt eine geöffnete LNK-Datei zunächst ein Köder-PDF sowie ein PowerShell-Skript ab, das die nächste Angriffsphase vorbereitet. Während das PDF dem Opfer angezeigt wird, läuft das Skript still im Hintergrund.

Bevor es aktiv wird, prüft das PowerShell-Skript die Umgebung auf Analysewerkzeuge: Es sucht nach laufenden Prozessen, die auf virtuelle Maschinen, Debugger oder Forensik-Tools hindeuten. Wird ein solcher Prozess erkannt, bricht das Skript sofort ab. Andernfalls extrahiert es ein VBScript und richtet über eine geplante Aufgabe Persistenz ein, die das PowerShell-Payload alle 30 Minuten in einem unsichtbaren Fenster startet — so wird das Skript auch nach jedem Neustart automatisch ausgeführt.

Anschließend erstellt das Skript ein Profil des kompromittierten Rechners, speichert das Ergebnis in einer Protokolldatei und überträgt es mithilfe eines fest einprogrammierten Zugriffstokens an ein GitHub-Repository unter dem Konto „motoralis". Zu den im Rahmen der Kampagne angelegten Konten zählen laut Fortinet unter anderem „God0808RAMA", „Pigresy80", „entire73", „pandora0009" und „brandonleeodd93-blip". Über eine bestimmte Datei im selben Repository ruft das Skript weitere Module oder Anweisungen ab.

Frühere Varianten der Kampagne setzten laut Fortinet LNK-Dateien ein, um Schadsoftware-Familien wie Xeno RAT zu verbreiten. Der Einsatz von GitHub als C2 zur Verteilung von Xeno RAT und seiner Variante MoonPeak wurde im vergangenen Jahr von ENKI und Trellix dokumentiert und der nordkoreanischen, staatlich gestützten Gruppe Kimsuky zugeschrieben. „Statt sich auf komplexe, maßgeschneiderte Schadsoftware zu verlassen, nutzt der Akteur native Windows-Werkzeuge für Auslieferung, Tarnung und Persistenz", erklärte die Sicherheitsforscherin Cara Lin. Durch den weitgehenden Verzicht auf abgelegte PE-Dateien und den Einsatz sogenannter LolBins lasse sich ein breites Publikum bei zugleich niedriger Erkennungsrate angreifen.

Parallel beschrieb AhnLab eine ähnliche, LNK-basierte Infektionskette von Kimsuky, die schließlich in einer in Python geschriebenen Hintertür mündet. Dabei legen die LNK-Dateien einen versteckten Ordner unter „C:\windirr" an, in dem unter anderem ein Köder-PDF und eine weitere LNK-Datei abgelegt werden, die ein Dokument des Hangul Word Processor (HWP) nachahmt. Ein PowerShell-Skript nutzt Dropbox als C2-Kanal, um ein Batch-Skript nachzuladen; dieses lädt zwei separate ZIP-Fragmente vom Server „quickcon[.]store", fügt sie zusammen und entpackt daraus einen XML-Taskplaner sowie die Python-Hintertür. Die Schadsoftware kann weitere Payloads nachladen und Befehle des C2-Servers ausführen, darunter Shell-Skripte starten, Verzeichnisse auflisten, Dateien hoch-, herunterladen oder löschen sowie BAT-, VBScript- und EXE-Dateien ausführen.

Zeitgleich beobachtete S2W, dass die Gruppe ScarCruft von klassischen LNK-basierten Ketten zu einem HWP-OLE-basierten Dropper übergeht, um den ausschließlich von dieser nordkoreanischen Gruppe genutzten Fernzugriffstrojaner RokRAT auszuliefern. Die Schadsoftware wird dabei als OLE-Objekt in ein HWP-Dokument eingebettet und über DLL-Side-Loading ausgeführt. Anders als bei früheren Ketten, die von LNK-abgelegten BAT-Skripten zu Shellcode führten, komme hier neu entwickelte Dropper- und Downloader-Schadsoftware zum Einsatz, um Shellcode und das RokRAT-Payload auszuliefern, so das südkoreanische Unternehmen.