Der Angriff beginnt mit ZIP-Archiven, die mit militärischen Dokumente-Ködern bestückt sind und dazu führen, dass die manipulierte SumatraPDF-Version ausgeführt wird. Die Schadsoftware zeigt zunächst ein täuschendes PDF-Dokument an, während im Hintergrund verschlüsselter Shellcode von einem Staging-Server heruntergeladen wird. Dieser aktiviert dann den AdaptixC2 Beacon, einen Post-Exploitation-Agent, den die Angreifer für ihre Zwecke customized haben.
Das Herzstück des Angriffsablaufs ist eine modifizierte Version eines Loaders namens TOSHIS, der auf Xiangoop basiert — eine Malware, die Tropic Trooper bereits mehrfach eingesetzt hat. TOSHIS ist dafür verantwortlich, den mehrstufigen Angriff in Gang zu setzen und sowohl das täuschende Dokument als auch den AdaptixC2 Beacon auf dem System zu installieren.
Ein Schlüsselmerkmal dieser Kampagne ist die Verwendung von GitHub als C2-Plattform. Der AdaptixC2 Beacon beaconet zur attacker-kontrollierten Infrastruktur, um Befehle auszuführen. Dies ist eine raffinierte Methode, da GitHub-Traffic in Unternehmensumgebungen häufig nicht blockiert wird und legitim aussieht.
Der Angriffsablauf eskaliert nur für Systeme, die die Angreifer als wertvoll einstufen. In diesen Fällen werden Visual Studio Code und VS Code-Tunnel für Fernzugriff installiert. Auf selektiven Maschinen wurden auch trojanisierte Anwendungen entdeckt, offenbar um die malicious Aktivitäten besser zu verschleiern.
Die Staging-Server der Intrusion (IP: 158.247.193[.]100) wurde zudem beobachtet, wie sie Cobalt Strike Beacon und einen Custom-Backdoor namens EntryShell hostet — beide Werkzeuge, die Tropic Trooper bereits in früheren Kampagnen eingesetzt hat. Zscaler berichtet, dass die Gruppe schrittweise von öffentlich bekannten Backdoors wie Cobalt Strike und Mythic Merlin zu AdaptixC2 übergegangen ist, was auf eine kontinuierliche Anpassung ihrer Taktiken hindeutet. Diese Verschiebung deutet darauf hin, dass moderne Hackergruppen ständig ihre Arsenal-Tools wechseln, um Erkennungssystemen zu entgehen.