Nach Angaben des Genians Security Center (GSC) tarnt sich die Angriffs-Mail als Sicherheitsalarm für ein Microsoft-Konto. Die Nachricht erweckt den Eindruck, es habe wiederholt ungewöhnliche Erzeugungen von Einmalpasswörtern gegeben, und stellt dies als Phishing-Versuch eines Dritten gegen das Konto des Ziels dar. Damit soll beim Empfänger Sorge über eine mögliche Kontoübernahme und den Missbrauch von Einmalpasswörtern ausgelöst werden, um ihn zum Öffnen des Anhangs zu bewegen.

Der Mailtext fordert dazu auf, die beigefügte Hinweisdatei zu lesen. Tatsächlich handelt es sich laut GSC aber nicht um ein HWP-Dokument, sondern um ein ZIP-Archiv mit einer bösartigen LNK-Datei. Nach dem Start dieser Verknüpfung beginnt eine mehrstufige Infektionskette: Zwischengeschaltete Batch-Skripte laden NarwhalRAT nach und installieren die Malware. Zusätzlich werden die legitime Python-Programmdatei von der offiziellen Website sowie eine Windows-Sicherheitskatalogdatei (CAT) abgerufen.

Für die Persistenz richtet die Schadsoftware eine geplante Aufgabe ein. Diese ist so konfiguriert, dass sie die CAT-Datei startet, die wiederum die Hauptnutzlast aus dem Speicher nachlädt und ausführt, ohne Spuren auf dem Datenträger zu hinterlassen. Genians beschreibt NarwhalRAT als fortgeschrittene RAT-Malware mit einem Python-basierten Mehrstufen-Loader, einer In-Memory-Ausführungsstruktur, einem Betriebsmodell mit mehreren C2-Kanälen und selektiven Funktionen zur Informationssammlung.

Die Fähigkeiten der Malware reichen laut GSC vom Mitschneiden von Tastatureingaben über Bildschirmaufnahmen in hoher Auflösung bis zur Aufzeichnung von Umgebungsgeräuschen. Hinzu kommen das Hochladen von Verzeichnisinhalten, das Sammeln von Informationen über aktive Fenster, das Erfassen von Daten aus USB-Medien, die Ausführung von Befehlen eines Command-and-Control-Servers und das Umschalten auf andere C2-Server.

Der Name NarwhalRAT leitet sich von der Nutzung des Pfads „%APPDATA%\naverwhale“ ab, in dem die gesammelten Daten auf dem kompromittierten System zwischengespeichert werden. Laut Genians soll das versteckte Verzeichnis durch seinen Namen unauffällig wirken, indem es sich als Naver Whale tarnt, einen Webbrowser des südkoreanischen Unternehmens Naver Corporation.

Auch bei der Kommunikationsinfrastruktur sieht Genians markante Merkmale. Die Malware verwendet demnach koreanische Websites, darunter „daehoat[.]com“ und „novel21[.]co.kr“, als primäre Relais für die Kommunikation. Zusätzlich sei im Code eine Kommunikationsfunktion auf Basis der pCloud-Cloudspeicher-API umgesetzt. Besonders auffällig seien Routinen zur Verarbeitung der pCloud-Parameter „folderid“ und „auth“. Das deute darauf hin, dass die Malware einen legitimen Cloud-Dienst als sekundären C2-Kanal in Form eines Dead-Drop-Resolvers nutzen sollte.

Genians sieht zudem „mehrere Ähnlichkeiten“ zu früheren Python-basierten Angriffen von ScarCruft. Dazu zählt eine Spear-Phishing-Kampagne, die mit angeblichen Ticketbestätigungen und Einladungen zu Veranstaltungen arbeitete, um Ziele zum Öffnen von ZIP-Archiven mit LNK-Dateien zu verleiten. Auch dort fungierte die LNK-Datei als Ausgangspunkt für ein verschleiertes Batch-Skript von einem entfernten C2-Server, das anschließend die Python-Binärdatei und eine CAT-Datei nachlud und so eine kompilierte Python-Datei zur Fernsteuerung installierte.

Ähnlichkeiten gibt es laut Genians auch bei den Namen der geplanten Aufgaben zur Persistenz. Während die NarwhalRAT-Infektion eine Aufgabe namens „MicrosoftUserInterfacePicturesUpdateTackMachine“ anlegt, verwendet die zweite Kette die Bezeichnung „MicrosoftMusicLibrariesPackageTaskMachine“.