Nach Darstellung von Seqrite begann die Angriffskette mit Spear-Phishing-E-Mails. Diese enthielten ZIP-Archive, in denen schädliche LNK-Dateien als PDF-Dokumente getarnt waren. Die LNK-Dateien nutzten mshta, um eine HTA-Nutzlast nachzuladen, die anschließend direkt im Arbeitsspeicher decodiert wurde. Danach folgten mehrere Loader; für die Persistenz sorgten die Angreifer über die Windows-Registrierung und tarnten die Aufgabe als Microsoft-Edge-Prozess.
Die eigentliche Schadsoftware war Xeno RAT. Seqrite beschreibt sie als quelloffenes Werkzeug für Fernzugriff und Datendiebstahl, das in dieser Kampagne mit einer fest hinterlegten Command-and-Control-Domain versehen wurde. Diese Domain war demnach bei einem sogenannten Bulletproof-Hosting-Dienst in Bulgarien untergebracht.
Als Köder bekamen die Opfer ein Dokument mit einem Mitarbeiterverzeichnis des afghanischen Finanzministeriums zu sehen. Darin standen Namen und Mobiltelefonnummern hochrangiger Beschäftigter aus den 34 Provinzen des Landes. Auch sprachlich war die Kampagne gezielt angepasst: Vom Namen der LNK-Datei bis zum nachgeladenen Dokument setzten die Angreifer gezielt auf Paschtu. Seqrite weist darauf hin, dass Paschtu zwar nicht die meistgesprochene Sprache in Afghanistan ist, aber die Muttersprache der Paschtunen, der größten ethnischen Gruppe des Landes, aus der sich die Taliban weitgehend rekrutieren.
Besonders auffällig war laut den Forschern die Infrastruktur für die Auslieferung der Schadsoftware. Die Angreifer hosteten die ferne Nutzlast auf einer kompromittierten Domain im IP-Adressraum des afghanischen Ministeriums für Kommunikation und Informationstechnologie. Weil der bösartige Datenverkehr damit über staatliche Infrastruktur lief und die Website neben mehr als 200 legitimen Regierungs- und Bildungsseiten lag, konnte sich die Aktivität im normalen staatlichen Datenverkehr verbergen.
Seqrite bewertet die Kampagne deshalb trotz fehlender technischer Neuerungen als sorgfältig umgesetzt. Die Forscher betonen, die Operation führe zwar keine neuen Malware-Techniken ein, zeige aber einen ausgereiften und gezielten Ansatz bei Abwehrumgehung, Persistenz und operativer Sicherheit. Die Raffinesse liege hier stärker in Ausführung, Zielauswahl und Orchestrierung bewährter Methoden als in einer einzelnen technischen Innovation.
Zur Einordnung verweist Seqrite auf die digitale Infrastruktur Afghanistans. Entgegen verbreiteten Vorstellungen verfüge das Land über eine deutlich größere digitale Präsenz, als viele Beobachter erwarteten. Die Regierung betreibe zahlreiche Portale von Ministerien, Bildungseinrichtungen, Regulierungsstellen, E-Mail-Systeme und Verwaltungsdienste. Diese vernetzte Landschaft sei in den zwei Jahrzehnten nach 2001 mit ausländischer Hilfe und Investitionen in Mobilfunk-, Glasfaser- und weitere Telekommunikationsinfrastruktur entstanden. Darauf aufbauend seien IT- und Cybersicherheitsdienste, Sicherheits- und Überwachungssysteme, biometrische Datenbanken und Verwaltungsnetze entstanden – darunter auch das Netzwerk des Finanzministeriums, das nun im Fokus pakistanischer Spionage stehe.
Nach dem Machtwechsel vor rund einem halben Jahrzehnt habe die Taliban diese Systeme übernommen. Seqrite zufolge stehen der heutigen afghanischen Führung jedoch weniger Cybersicherheitsressourcen zum Schutz dieser Infrastruktur zur Verfügung. Als mögliche Gründe nennen die Forscher wirtschaftliche Isolation, eingeschränkten Zugang zu internationalen Cybersicherheits-Partnerschaften, Schwierigkeiten bei der Bindung qualifizierter Fachkräfte und begrenzte Möglichkeiten zur Modernisierung der Technik. Solche Bedingungen könnten es Bedrohungsakteuren erleichtern, langfristigen Zugang zu halten und Spionage mit geringerer Entdeckungswahrscheinlichkeit zu betreiben.