Nach Angaben von Kaspersky wurde die trojanisierte Software sowohl als ZIP-Archive als auch als eigenständige Installer für die betroffenen Produkte verteilt. Jede dieser Dateien enthielt eine legitime, signierte ausführbare Datei des jeweiligen Produkts sowie eine schädliche DLL. Diese trug den Namen „CRYPTBASE.dll", um die Technik des DLL-Side-Loadings auszunutzen.

Die schädliche DLL nimmt Kontakt zu einem externen Server auf und führt weitere Schadkomponenten aus. Zuvor prüft sie jedoch mit Anti-Sandbox-Kontrollen, ob sie in einer Analyseumgebung läuft, um einer Entdeckung zu entgehen. Ziel der Kampagne ist die Installation von STX RAT, einem Fernzugriffstrojaner mit HVNC-Funktionen und umfangreichen Fähigkeiten zum Datendiebstahl.

Laut einer Analyse des Sicherheitsunternehmens eSentire bietet STX RAT einen breiten Befehlssatz für die Fernsteuerung, das Nachladen weiterer Schadkomponenten und Aktionen nach der Erstkompromittierung. Dazu zählen die Ausführung von EXE-, DLL-, PowerShell- oder Shellcode-Komponenten im Arbeitsspeicher, Reverse-Proxy- und Tunneling-Funktionen sowie die Interaktion mit dem Desktop.

Die Adresse des Command-and-Control-Servers (C2) und die Verbindungskonfiguration stammen aus einer früheren Kampagne. Dabei waren trojanisierte FileZilla-Installer auf gefälschten Seiten verwendet worden, um dieselbe Schadsoftware zu verbreiten. Diese Aktivität hatte Malwarebytes kürzlich dokumentiert.

Kaspersky identifizierte mehr als 150 Opfer, überwiegend Privatpersonen. Betroffen waren aber auch Organisationen aus den Bereichen Handel, Fertigung, Beratung, Telekommunikation und Landwirtschaft. Die meisten Infektionen lagen in Brasilien, Russland und China.

Als gravierendsten Fehler der Angreifer wertet Kaspersky die Wiederverwendung derselben Infektionskette mit STX RAT und derselben Domainnamen für die C2-Kommunikation aus dem vorangegangenen Angriff mit den gefälschten FileZilla-Installern. Die Fähigkeiten der hinter dem Angriff stehenden Akteure bei Entwicklung, Verteilung und operativer Sicherheit seien recht gering, so Kaspersky – was es ermöglicht habe, die Watering-Hole-Kompromittierung bereits zu ihrem Beginn zu erkennen.