Den Kern der Schadfunktion lokalisierten die Forscher in einer Datei namens „src/helpers.php", die in die Versions-Tags eingebettet wurde. Sie dient vor allem dazu, das infizierte System zu erfassen (Fingerprinting) und einen externen Server unter der Adresse „flipboxstudio[.]info" zu kontaktieren, um von dort eine PHP-basierte, plattformübergreifende Schadlast nachzuladen.
Entscheidend für die Wirksamkeit ist die Verankerung im Ladevorgang von PHP. Laut StepSecurity trug der Angreifer „src/helpers.php" in jedem kompromittierten Paket in die Autoload-Files-Zuordnung ein. Da jede Laravel-Anwendung beim Start die zentrale Autoload-Datei einbindet – und Symfony, PHPUnit sowie die meisten anderen PHP-Frameworks ebenso verfahren –, werde die Schadlast in dem Moment ausgeführt, in dem ein Nutzer des Pakets die Anwendung hochfährt. Es brauche dafür weder eine Instanziierung von Klassen noch einen Methodenaufruf oder einen speziellen Auslöser.
Socket beschreibt denselben Mechanismus aus Sicht der Konfiguration: Weil die Datei in der „composer.json" unter „autoload.files" registriert sei, werde die Hintertür bei jeder PHP-Anfrage automatisch ausgeführt, die die kompromittierte Anwendung verarbeitet. Um Mehrfachausführungen zu vermeiden, erzeugt das Skript laut Socket eine eindeutige Kennung pro Host – einen MD5-Hash aus Verzeichnispfad, Systemarchitektur und Inode. So löst die Schadlast nur einmal pro Maschine aus, was die Erkennung nach dem ersten Durchlauf erschwert.
Wie der Dropper vorgeht, schlüsselt Aikido Security auf: Unter Windows wird ein in Visual Basic Script geschriebener Starter abgelegt und über „cscript" ausgeführt. Auf Linux und macOS startet die Schadlast hingegen über „exec()".
Bei der nachgeladenen Komponente handelt es sich nach Angaben des Aikido-Forschers Ilyas Makari um einen rund 5.900 Zeilen umfassenden PHP-Credential-Stealer, der in fünfzehn spezialisierte Sammelmodule gegliedert ist. Nachdem das Schadprogramm alle erreichbaren Daten zusammengetragen hat, verschlüsselt es die Ergebnisse mit AES-256 und sendet sie an „flipboxstudio[.]info/exfil" – also an denselben Server, der zuvor die Schadlast ausgeliefert hat. Anschließend löscht es sich selbst von der Festplatte, um forensische Spuren zu begrenzen.
