Wird die LNK-Datei ausgeführt, ruft sie über “mshta.exe” eine HTML-Application (HTA) von einer kompromittierten afghanischen Bildungs-Domain ab. Dadurch wird verschleierter JavaScript-Code direkt im Arbeitsspeicher ausgeführt. Die Schadsoftware verankert sich anschließend über die Registry und gibt sich dabei als Microsoft Edge aus. Mithilfe eines DLL-basierten Loaders werden Xeno RAT in der Version 1.8.7 sowie ein Täuschungsdokument abgelegt, das von der eigentlichen Infektion ablenken soll.

Xeno RAT verbindet sich über TCP mit einem entfernten Server, um Befehle des Angreifers entgegenzunehmen. Der Trojaner kann externe DLL-Module laden und ausführen, Daten an den Server übertragen und sich per geplanter Aufgabe starten. Darüber hinaus liest er Informationen zur installierten Antivirensoftware aus, unterstützt Netzwerk-Tunneling über einen SOCKS5-Proxy und führt Dateioperationen durch.

Zum Funktionsumfang gehören außerdem das Protokollieren von Tastatureingaben, das Anfertigen von Bildschirmfotos, die Überwachung der Zwischenablage sowie der Zugriff auf Webcam und Mikrofon. Die Schadsoftware kann zudem ihre eigenen Persistenzmechanismen entfernen und sich vollständig vom befallenen System deinstallieren.

SideCopy war bereits zuvor aufgefallen: Im April 2025 wurde die Gruppe einer Reihe von Angriffen auf verschiedene Branchen in Indien zugeordnet, bei denen Xeno RAT, Spark RAT und CurlBack RAT zum Einsatz kamen.

Parallel dazu wurden Details zu einer weiteren gezielten Phishing-Operation bekannt, die der Forscher R.D. Tarun der Gruppe Transparent Tribe zuschreibt. Sie richtet sich gegen die indische Militär- und Verteidigungsinfrastruktur und setzt dabei auf präparierte Linux-Dateien im Format “.desktop”. Als Köder dienen Inhalte rund um die Beschaffung indischer Panzerfahrzeuge.

Laut Tarun zielt die Kampagne auf Personen aus dem Umfeld des indischen Militärs und nutzt dafür Social Engineering über WhatsApp sowie eine gestaffelte Auslieferung von Shell-Payloads. Nach der Ausführung startet der schädliche “.desktop”-Launcher eine stark verschleierte, Shell-basierte Infektionskette, die schließlich ein in Golang geschriebenes ELF-Implantat namens DeskRAT installiert.