JanelaRAT wurde erstmals von Zscaler im Juni 2023 in freier Wildbahn beobachtet. In der damaligen Variante nutzte die Schadsoftware ZIP-Archive mit einem Visual-Basic-Script (VBScript), um ein zweites ZIP-Archiv herunterzuladen. Dieses enthielt eine legitime ausführbare Datei sowie eine DLL-Nutzlast; in der letzten Stufe kam die Technik des DLL-Side-Loading zum Einsatz, um den Trojaner zu starten.
In einer im Juli 2025 veröffentlichten Analyse beschrieb KPMG einen anderen Verbreitungsweg: Die Schadsoftware werde über manipulierte MSI-Installationsdateien verteilt, die sich als legitime Software auf vertrauenswürdigen Plattformen wie GitLab tarnten. Diese Angriffe hätten sich vor allem gegen Chile, Kolumbien und Mexiko gerichtet. Laut KPMG startet der Installer einen mehrstufigen Infektionsprozess mit Steuerskripten in Go, PowerShell und Batch. Diese entpacken ein ZIP-Archiv mit der ausführbaren RAT-Datei, einer schädlichen Chromium-Browsererweiterung und weiteren Komponenten.
Die Skripte erkennen installierte Chromium-basierte Browser und verändern unbemerkt deren Startparameter – etwa über den Befehlszeilenschalter „–load-extension" –, um die Erweiterung zu installieren. Das Browser-Add-on sammelt anschließend Systeminformationen, Cookies, den Browserverlauf, installierte Erweiterungen und Metadaten zu geöffneten Tabs und löst je nach übereinstimmendem URL-Muster bestimmte Aktionen aus.
Die jüngste von Kaspersky dokumentierte Angriffskette setzt auf Phishing-E-Mails, die als offene Rechnungen getarnt sind. Über einen Link sollen Empfänger eine vermeintliche PDF-Datei herunterladen, wodurch tatsächlich ein ZIP-Archiv geladen wird, das die beschriebene Kette mit DLL-Side-Loading zur Installation von JanelaRAT in Gang setzt. Mindestens seit Mai 2024 sind die Kampagnen von Visual-Basic-Skripten auf MSI-Installer umgestiegen. Diese fungieren als Dropper und richten Persistenz ein, indem sie im Autostart-Ordner eine Windows-Verknüpfung (LNK) anlegen, die auf die ausführbare Datei verweist.
Nach der Ausführung nimmt die Schadsoftware über einen TCP-Socket Verbindung zu einem Command-and-Control-Server (C2) auf, meldet die erfolgreiche Infektion und überwacht die Aktivität des Opfers, um sensible Bankvorgänge abzufangen. Das Hauptziel besteht darin, den Titel des aktiven Fensters auszulesen und mit einer fest hinterlegten Liste von Finanzinstituten abzugleichen. Bei einer Übereinstimmung wartet die Malware zwölf Sekunden, öffnet dann einen eigenen C2-Kanal und führt vom Server empfangene Aufgaben aus.
Laut Kaspersky ermittelt die Schadsoftware zudem, ob der Rechner länger als zehn Minuten inaktiv war, indem sie die Zeit seit der letzten Nutzereingabe berechnet. Überschreitet die Inaktivität diese Schwelle, benachrichtigt sie den C2-Server; bei erneuter Aktivität meldet sie dies wiederum. So lassen sich Anwesenheit und Tagesablauf des Opfers nachverfolgen, um mögliche Fernzugriffe zeitlich zu planen. Kaspersky bewertet diese Variante als deutlichen Fortschritt: Sie kombiniere mehrere Kommunikationskanäle, eine umfassende Überwachung der Opfer, interaktive Overlays, das Einschleusen von Eingaben und robuste Fernsteuerungsfunktionen. Die Schadsoftware sei darauf ausgelegt, möglichst unsichtbar zu bleiben und ihr Verhalten anzupassen, sobald sie Anti-Betrugs-Software erkennt.
