Die erste Angriffskette beginnt mit einem passwortgeschützten RAR-Archiv. Darin befindet sich ein in .NET geschriebener Dropper namens SPLITDROP, der als Übermittler für zwei weitere Komponenten dient: das Arbeitsmodul TWINTASK und den Steuerungs-Orchestrator TWINTALK.

Bei TWINTASK handelt es sich um eine schädliche DLL (“libvlc.dll”), die über die legitime Datei “vlc.exe” per Sideloading geladen wird. Das Modul prüft alle 15 Sekunden eine Datei (“C:\ProgramData\PolGuid\in.txt”) auf neue Befehle und führt diese über PowerShell aus. Dazu gehören auch Befehle, die sich über Änderungen an der Windows-Registry dauerhaft im System verankern. Die Ausgaben und Fehler der Skripte werden in einer separaten Textdatei (“out.txt”) festgehalten.

Beim ersten Start führt TWINTASK eine weitere legitime Datei aus dem Archiv aus (“WingetUI.exe”), die ihrerseits die TWINTALK-DLL (“hostfxr.dll”) per Sideloading lädt. TWINTALK kontaktiert den Steuerungsserver, um neue Befehle abzurufen, koordiniert die Aufgaben mit TWINTASK und sendet die Ergebnisse zurück. Laut Singh tritt TWINTALK nach dem Start in eine Beaconing-Schleife ein und verzögert die Ausführung um ein zufälliges Intervall, bevor es den Server abfragt.

Die zweite Angriffskette ist eine Weiterentwicklung der ersten: Sie fasst die Funktionen von TWINTASK und TWINTALK in einer einzigen Datei namens GHOSTFORM zusammen. GHOSTFORM führt PowerShell-Skripte direkt im Arbeitsspeicher aus und muss so keine Artefakte mehr auf die Festplatte schreiben. Einige GHOSTFORM-Varianten enthalten zudem eine fest einprogrammierte Google-Forms-URL, die beim Start automatisch im Standardbrowser geöffnet wird. Das Formular ist auf Arabisch verfasst und gibt sich als offizielle Umfrage des irakischen Außenministeriums aus.

Bei der Analyse des Quellcodes von TWINTALK und GHOSTFORM stieß Zscaler auf Platzhalterwerte, Emojis und Unicode-Text. Das deute darauf hin, dass beim Entwickeln der Schadsoftware generative KI-Werkzeuge zum Einsatz gekommen sein könnten.

Die zu TWINTALK gehörende Steuerungsdomain “meetingapp[.]site” wurde nach Angaben von Zscaler bereits in einer Kampagne im Juli 2025 von Dust Specter genutzt. Damals diente sie als gefälschte Einladungsseite für ein Cisco-Webex-Meeting, die Nutzer anwies, ein PowerShell-Skript zu kopieren, einzufügen und auszuführen, um an der Besprechung teilzunehmen. Dieses Vorgehen entspricht einer Taktik, die aus Social-Engineering-Angriffen im Stil von ClickFix bekannt ist. Das Skript legte ein Verzeichnis an, versuchte eine Schadlast von derselben Domain nachzuladen und richtete eine geplante Aufgabe ein, um die Datei alle zwei Stunden auszuführen.

Die Verbindung zum Iran stützt Zscaler darauf, dass iranische Hackergruppen seit Längerem eigene, leichtgewichtige .NET-Backdoors entwickeln. Auch die Nutzung kompromittierter irakischer Regierungsinfrastruktur sei aus früheren Kampagnen bekannt, die etwa OilRig (auch als APT34 bezeichnet) zugerechnet werden.