Nach Darstellung von CERT-UA erhält das Opfer im Verlauf der Kette ein Archiv mit einer Verknüpfungsdatei (LNK), die einen integrierten HTA-Handler startet. Dieser verbindet sich mit einer entfernten Ressource, um eine HTA-Datei nachzuladen und auszuführen. Die HTA zeigt ein Täuschungsformular an, um die Aufmerksamkeit abzulenken, und legt eine geplante Aufgabe an, die eine EXE-Datei herunterlädt und ausführt; diese schleust Shellcode in einen legitimen Prozess ein.
Anschließend kommt ein zweistufiger Loader zum Einsatz, dessen zweite Stufe ein eigenes ausführbares Format nutzt; die finale Nutzlast ist komprimiert und verschlüsselt. Laut CERT-UA können dabei eine typische TCP-Reverse-Shell oder ein als RAVENSHELL eingestuftes Gegenstück als Stager dienen, die eine TCP-Verbindung zum Steuerungsserver aufbauen. Die mit der XOR-Verschlüsselung gesicherte Verbindung zum C2-Server dient der Ausführung von Befehlen über die Windows-Eingabeaufforderung.
In der nächsten Phase wird AgingFly ausgeliefert. Parallel kommt ein PowerShell-Skript namens SILENTLOOP zum Einsatz, das Befehle ausführt, die Konfiguration aktualisiert und die Adresse des C2-Servers aus einem Telegram-Kanal oder über Ausweichmechanismen bezieht.
Nach Auswertung von rund einem Dutzend solcher Vorfälle stellten die Forscher fest, dass der Angreifer Browserdaten mit dem quelloffenen Sicherheitswerkzeug ChromElevator stiehlt. Dieses kann ohne Administratorrechte sensible Informationen wie Cookies und gespeicherte Passwörter aus Chromium-basierten Browsern (etwa Google Chrome, Edge und Brave) entschlüsseln und auslesen. Daten aus der WhatsApp-Anwendung für Windows versucht der Akteur durch Entschlüsselung der Datenbanken mit dem quelloffenen Forensik-Werkzeug ZAPiDESK abzugreifen. Für Aufklärung und seitliche Bewegung im Netzwerk setzt er öffentlich verfügbare Werkzeuge ein, darunter den Portscanner RustScan sowie die Tunneling-Werkzeuge Ligolo-ng und Chisel.
AgingFly selbst bietet seinen Betreibern Fernsteuerung, Befehlsausführung, Dateiexfiltration, Bildschirmaufnahmen, Keylogging und die Ausführung beliebigen Codes. Die Kommunikation mit dem C2-Server läuft über WebSockets, der Datenverkehr wird mit AES-CBC und einem statischen Schlüssel verschlüsselt.
Eine Besonderheit der Schadsoftware ist laut CERT-UA, dass sie keine vorgefertigten Befehls-Handler enthält. Stattdessen werden diese als Quellcode vom C2-Server bezogen und zur Laufzeit auf dem befallenen Rechner kompiliert. Dieser Ansatz hält die anfängliche Nutzlast klein, erlaubt das Ändern oder Erweitern der Funktionen nach Bedarf und kann die statische Erkennung umgehen. Zugleich erhöht er die Komplexität, setzt eine bestehende C2-Verbindung voraus, vergrößert den Laufzeit-Fußabdruck und steigert letztlich das Entdeckungsrisiko.
CERT-UA empfiehlt Nutzern, das Starten von LNK-, HTA- und JS-Dateien zu blockieren, um die in dieser Kampagne genutzte Angriffskette zu unterbrechen.
