Das im ZIP-Archiv enthaltene HTML Application (HTA) legt beim Start ein Köderdokument ab, das als Ablenkung dient, während im Hintergrund weitere Stufen ausgeführt werden. Laut ClearSky gibt das Dokument eine Empfangsbestätigung für einen behördlichen Antrag zu einem ukrainischen Grenzübertritt vor. Der Köder solle den “Anschein von Legitimität” wahren.

Die HTA-Datei prüft zudem, ob sie in einer Sandbox läuft. Dazu liest sie den Windows-Registry-Schlüssel “KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate” aus, um das “Alter” des Betriebssystems abzuschätzen. Wurde das System vor weniger als zehn Tagen installiert, bricht die Ausführung ab.

Erfüllt das System die Kriterien, sucht die Schadsoftware das heruntergeladene ZIP-Archiv und extrahiert daraus zwei Dateien – ein Visual-Basic-Script (VBScript) und ein PNG-Bild –, die sie unter abweichenden Namen auf der Festplatte speichert. Zur Persistenz richtet sie eine geplante Aufgabe ein, die das VBScript ausführt.

Das VBScript hat die Aufgabe, im PNG-Bild eingebetteten Schadcode zu extrahieren. Dabei handelt es sich um den verschleierten Loader BadPaw, der einen Command-and-Control-Server (C2) kontaktiert, um weitere Komponenten nachzuladen – darunter eine ausführbare Datei namens MeowMeow.

Wird BadPaw außerhalb der vollständigen Angriffskette gestartet, läuft laut dem israelischen Sicherheitsunternehmen eine Attrappe an: Eine grafische Oberfläche zeigt das Bild einer Katze, passend zum Bildmotiv, aus dem die eigentliche Schadsoftware extrahiert wurde. Ein Klick auf die Schaltfläche “MeowMeow” zeige lediglich die Meldung “Meow Meow Meow” an, ohne weitere schädliche Aktion. Dies diene als zusätzlicher Köder, um die manuelle Analyse in die Irre zu führen.

Der eigentliche Schadcode der Backdoor wird nur aktiv, wenn MeowMeow mit dem Parameter “-v” gestartet wird, den die Infektionskette liefert. Zuvor prüft die Backdoor, ob sie auf einem echten Endgerät statt in einer Sandbox läuft und ob Analyse- und Überwachungswerkzeuge wie Wireshark, Procmon, Ollydbg und Fiddler aktiv sind.

MeowMeow kann PowerShell-Befehle aus der Ferne auf dem kompromittierten Rechner ausführen und unterstützt Dateisystemoperationen wie das Lesen, Schreiben und Löschen von Daten. ClearSky stieß im Quellcode auf russischsprachige Zeichenketten, was die Einschätzung stützt, dass ein russischsprachiger Akteur hinter der Aktivität steht.

Diese Zeichenketten ließen laut ClearSky zwei Deutungen zu: Entweder habe der Akteur einen Fehler bei der Betriebssicherheit (OPSEC) begangen, weil er den Code nicht für die ukrainische Zielumgebung lokalisiert habe, oder es seien während der Entwicklung unbeabsichtigt russische Entwicklungsspuren im Code verblieben.