Die LNK-Datei führt über das systemeigene Windows-Werkzeug „mshta.exe" eine entfernte HTML-Application (HTA) aus. Diese HTA-Datei zeigt dem Opfer ein vorgeschobenes Formular, um es abzulenken, und lädt im Hintergrund zugleich eine Binärdatei nach, die Shellcode in einen legitimen Prozess wie „runtimeBroker.exe" einschleust.

Laut CERT-UA kam in jüngeren Kampagnen ein zweistufiger Loader zum Einsatz. Dessen zweite Stufe nutzt ein eigenes ausführbares Dateiformat mit voller Unterstützung für Code- und Datensektionen, den Import von Funktionen aus dynamischen Bibliotheken sowie Relocation; die finale Schadlast ist zusätzlich komprimiert und verschlüsselt.

Als einer der Stager dient ein als RAVENSHELL geführtes Werkzeug, eine TCP-Reverse-Shell oder ein vergleichbares Programm. Es baut eine TCP-Verbindung zu einem Steuerungsserver auf und führt empfangene Befehle über „cmd.exe" auf dem Host aus. Auf das infizierte System gelangen außerdem eine Schadsoftware-Familie namens AGINGFLY sowie ein PowerShell-Skript mit der Bezeichnung SILENTLOOP. SILENTLOOP kann Befehle ausführen, seine Konfiguration automatisch aktualisieren und die aktuelle IP-Adresse des Steuerungsservers aus einem Telegram-Kanal beziehen; zudem greift es auf alternative Mechanismen zur Ermittlung der Command-and-Control-Adresse (C2) zurück.

AGINGFLY ist in C# entwickelt und dient der Fernsteuerung der betroffenen Systeme. Die Schadsoftware kommuniziert über WebSockets mit einem C2-Server, um Befehle abzurufen – darunter das Ausführen von Kommandos, das Starten eines Keyloggers, das Herunterladen von Dateien und das Nachladen weiterer Schadlasten.

Die Untersuchung von rund einem Dutzend Vorfällen ergab, dass die Angriffe der Aufklärung, der seitlichen Bewegung im Netzwerk (Lateral Movement) sowie dem Diebstahl von Zugangsdaten und anderen sensiblen Informationen aus WhatsApp und Chromium-basierten Browsern dienen. Dazu setzen die Angreifer verschiedene quelloffene Werkzeuge ein.

Nach Einschätzung von CERT-UA gibt es zudem Hinweise darauf, dass auch Angehörige der ukrainischen Streitkräfte ins Visier geraten sein könnten. Grundlage dafür ist die Verbreitung schädlicher ZIP-Archive über Signal, die AGINGFLY mittels DLL-Side-Loading auf den Systemen platzieren sollen.

Zur Eindämmung des Risikos empfiehlt CERT-UA, die Ausführung von LNK-, HTA- und JS-Dateien einzuschränken – ebenso die legitimer Systemwerkzeuge wie „mshta.exe", „powershell.exe" und „wscript.exe".