Die Kampagne beginnt mit SEO-Vergiftung auf Suchmaschinen wie Bing, Yahoo, DuckDuckGo und Yandex, sodass bösartige Treffer für spezialisierte IT-Begriffe ganz oben in den Ergebnissen erscheinen. Wer etwa nach Kusto Explorer sucht – einem Werkzeug für Abfragen gegen Azure Data Explorer per KQL – landet zunächst auf einem „Schaufenster"-Repository auf GitHub. Diese Fassade enthält keinen Schadcode, sondern nur eine professionell wirkende README-Datei, deren Link auf ein zweites, verstecktes Repository verweist. Erst dort liegt die eigentliche Schadsoftware.

Durch die Trennung des SEO-optimierten Schaufensters vom Auslieferungskonto können die Täter geflaggte Verteil-Repositories rasch austauschen, während die indexierte Fassade unangetastet bleibt – sie müssen lediglich eine einzige URL aktualisieren. Zwischen Anfang Dezember 2025 und dem 1. April 2026 setzten die Angreifer laut Atos TRC 44 separate GitHub-Fassaden ein, von denen jede ein anderes Administrations- oder Entwicklerwerkzeug imitierte. Da Standardnutzer kaum mit Programmen wie WinDbg, Windows ADK, Process Explorer oder TCPView arbeiten, dient die Auswahl der Tools zugleich der automatisierten Profilbildung der Opfer.

Das technisch bemerkenswerteste Merkmal ist die Blockchain-basierte Auflösung der C2-Adresse („Dead Drop Resolving"). Nach Ausführung des MSI kontaktiert die Schadsoftware keine fest codierte Domain oder IP, sondern fragt eine bestimmte Smart-Contract-Adresse auf der Ethereum-Blockchain ab. Dafür werden neun öffentliche Ethereum-API-Dienste parallel angefragt; übernommen wird die Antwort der Mehrheit. Ein Hintergrund-Timer wiederholt diese Abfrage alle fünf Minuten, sodass die Schadsoftware automatisch auf eine neue Serveradresse umschwenkt, sobald der Angreifer sie per Transaktion einträgt.

Laut Atos TRC handelt es sich um einen mehrstufigen, weitgehend dateilosen Remote Access Trojaner (RAT) in JavaScript. Er nutzt mehrschichtige AES-256-CBC-Verschlüsselung und lädt die Node.js-Laufzeitumgebung zur Laufzeit von nodejs.org nach, was das Paket auf rund 4,7 MB klein hält. Die jüngste Variante besteht aus vier Dateien; eine per MSI-CustomAction gestartete, stark verschleierte CMD-Batchdatei legt ein Staging-Verzeichnis an, lädt Node.js nach und übergibt an die erste Stufe. Über mehrere Stufen wird der Hauptschadcode entschlüsselt, per Registry-Run-Schlüssel verankert und unter conhost.exe mit Parameter „–headless" ausgeführt, um im Task-Manager unauffällig zu bleiben.

Im Betrieb vergibt der RAT eine persistente Bot-ID, fragt periodisch den C2-Server ab und tarnt jeden Beacon als gewöhnlichen Abruf statischer Webinhalte mit zufälligen Dateiendungen wie .png oder .css. Befehle treffen als JavaScript-Code ein und werden direkt im Node.js-Prozess ausgeführt; zudem überschreibt sich der RAT bei jedem Lauf mit einer frisch verschleierten Kopie. Sämtliche Aktionen protokolliert er in %APPDATA%\svchost.log.

Ältere Versionen nutzten weniger Stufen und enthielten eine fest codierte Fallback-C2-IP (hxxp[://]135[.]125[.]255[.]55), die dem ersten Wert des damaligen Smart Contracts entsprach. Während der Recherche stieß Atos TRC auf eine vorläufige Warnung von KISA & KrCERT/CC zu derselben Kampagne. Das Sysdig Threat Research Team brachte EtherRAT zuvor mit der nordkoreanischen, staatlich gestützten Lazarus Group und der Kampagne „Contagious Interview" in Verbindung. Zudem dokumentierte eSentires Threat Response Unit (TRU) im März 2026 bei der dem iranischen Akteur MuddyWater (APT34) zugeschriebenen Tsundere-Schadsoftware umfangreiche Code-Überschneidungen mit EtherRAT, die ebenfalls die „EtherHiding"-Logik einsetzt. Atos TRC hat eigenen Angaben zufolge formelle Takedown-Maßnahmen gegen die Kampagne eingeleitet.