Nach dem Start verzichtet das anfängliche Batch-Skript bewusst auf jede Rechteausweitung und nutzt allein die Berechtigungen des aktuell angemeldeten Benutzers, um einen ersten Fuß in das System zu bekommen. Als Ablenkung öffnet die erste Stufe ein Köder-PDF, indem sie Google Chrome im Vollbildmodus startet – ein Finanzdokument oder eine Rechnung lenkt den Blick des Opfers ab, während im Hintergrund weitere Schritte ablaufen.
Dazu zählt ein PowerShell-Befehl, der das ursprüngliche Batch-Skript erneut ausführt, etwa über den Parameter -WindowStyle Hidden, um kein Konsolenfenster anzuzeigen. Für die Persistenz über Neustarts hinweg legen die Angreifer ein zusätzliches Batch-Skript im Autostart-Verzeichnis des Windows-Benutzers ab, sodass es bei jeder Anmeldung automatisch startet.
Laut den Forschern arbeitet diese Persistenz vollständig im Rechtekontext des aktuellen Benutzers: Sie verändert keine systemweiten Registry-Schlüssel, legt keine geplanten Tasks an und installiert keine Dienste. Stattdessen stützt sie sich auf das gewöhnliche Autostart-Verhalten auf Benutzerebene, das keine Rechteausweitung erfordert und kaum Sicherheitswarnungen erzeugt. Das verringere die Wahrscheinlichkeit von Eingabeaufforderungen zur Rechteausweitung oder von Registry-Überwachungsalarmen und reduziere zugleich die forensischen Spuren.
In der nächsten Phase kontaktiert die Malware erneut eine TryCloudflare-Domain und lädt weitere Payloads in Form von ZIP-Archiven nach, die mehrere Dateien enthalten. Nach dem Entpacken bringt die Angriffskette eine legitime, eingebettete Python-Laufzeitumgebung direkt von python.org zum Einsatz. Dadurch wird die Malware nach Einschätzung von Securonix unabhängig vom System und arbeitet auch dann weiter, wenn auf dem infizierten Endpunkt kein Python installiert ist. Ziel dieser Stufe seien Portabilität, Zuverlässigkeit und Tarnung; die Schadsoftware werde so zu einer vollständig eigenständigen Ausführungsumgebung.
Über die Python-Laufzeit startet die Malware das Skript “runn.py”, das die XWorm-Payload entschlüsselt und mittels Early Bird APC Injection ausführt. Bei dieser Technik wird der entschlüsselte Shellcode direkt im Arbeitsspeicher ausgeführt, indem er in separate Instanzen von “explorer.exe” injiziert wird. Für Xeno RAT missbrauchen die Angreifer zusätzlich die legitime Microsoft-Datei “AppInstallerPythonRedirector.exe”, um Python aufzurufen; in der letzten Stufe nutzt der Python-Loader denselben Injektionsmechanismus, um AsyncRAT zu starten.
Am Ende sendet die Malware ein minimales HTTP-Beacon an die vom Angreifer kontrollierte C2-Infrastruktur, die ebenfalls auf TryCloudflare gehostet ist, um den erfolgreichen Einbruch zu bestätigen. Statt einer einzelnen, monolithischen Payload werden die Komponenten schrittweise ausgerollt, was die Flexibilität und Widerstandsfähigkeit des Frameworks erhöht. Aus Sicht der Erkennung sei die wiederholte Prozessinjektion in “explorer.exe” innerhalb kurzer Zeitfenster ein starkes Verhaltensindiz, das sich über mehrere Angriffsstufen hinweg nachweisen lasse.
