Für den Angriff kompromittierten die Täter drei Programmdateien der Software: DTHelper.exe, DiscSoftBusServiceLite.exe und DTShellHlp.exe. Alle drei sind mit Zertifikaten von AVB Disc Soft signiert. Sobald eine dieser Dateien gestartet wird – was beim Hochfahren des Rechners geschieht –, aktiviert sich laut Kaspersky eine Backdoor. Diese ist in den Startcode eingebettet, der für die Initialisierung der CRT-Umgebung zuständig ist.
Die Backdoor richtet Anfragen an eine Typosquatting-Domain, die am 27. März registriert wurde. Der zugehörige Server antwortet mit einem Shell-Befehl, der über die Eingabeaufforderung ausgeführt wird, um eine weitere Schadkomponente nachzuladen und zu starten.
Über diesen Mechanismus versuchten die Angreifer, einen Informationssammler auf Tausenden Rechnern in mehr als 100 Ländern zu verteilen. Schwerpunkte lagen in Brasilien, China, Frankreich, Deutschland, Italien, Russland, Spanien und der Türkei. Rund zehn Prozent der betroffenen Maschinen gehören laut Kaspersky verschiedenen Unternehmen und Organisationen.
Mit den so gesammelten Daten identifizierten die Täter Systeme von Interesse und infizierten sie anschließend mit einer zweiten, sehr schlanken Backdoor. Nur etwa ein Dutzend Systeme bei Einrichtungen aus Verwaltung, Wissenschaft, Fertigung und Handel in Belarus, Russland und Thailand wurden damit befallen. Das spricht laut Kaspersky für einen gezielten Angriff.
Darüber hinaus diente die Backdoor dazu, komplexere Schadsoftware nachzuladen: Gegen eine einzelne Bildungseinrichtung in Russland wurde die als QUIC RAT bezeichnete Schadsoftware eingesetzt.
„Diese Art, die Backdoor nur auf einer kleinen Teilmenge der infizierten Maschinen einzusetzen, zeigt deutlich, dass der Angreifer die Infektion gezielt durchführen wollte. Welche Absicht dahintersteht – Cyberspionage oder ‚Big Game Hunting‘ –, ist derzeit allerdings unklar“, so Kaspersky.