Der von Trend Micro analysierte Schädling trägt den Namen BoryptGrab und wird über mehr als 100 GitHub-Repositories verteilt. In den dort hinterlegten ZIP-Archiven geben sich die Dateien als kostenlose Software-Werkzeuge aus. Nach Angaben der Forscher laufen diese Verteilung seit Ende 2025.

Gemeinsam ist allen identifizierten Binärdateien eine ähnliche russischsprachige Kommentierung sowie eine vergleichbare Logik zum Abrufen von URLs. Die Ausführungslogik unterscheidet sich dagegen von Archiv zu Archiv: In einigen Fällen kam DLL-Sideloading über eine im Archiv enthaltene ausführbare Datei zum Einsatz, in anderen lud ein VBS-Skript die ausführbare Datei des Launchers nach. Beobachtet wurden außerdem eine .NET-Datei, ein in Go geschriebener Downloader namens HeaconLoad sowie weitere Ausführungswege.

BoryptGrab selbst ist ein in C/C++ geschriebener Informationsdieb. Er bringt Prüfungen auf virtuelle Maschinen und Analyseumgebungen mit und versucht, sich mit erhöhten Rechten auszuführen. Die Malware kann Daten aus knapp einem Dutzend Browsern abgreifen, nutzt dafür Techniken rund um Chromes App Bound Encryption aus zwei GitHub-Repositories und lädt einen Chromium-Hilfsprozess nach, um Informationen aus den anvisierten Browsern zu sammeln.

Darüber hinaus liest der Stealer Daten aus Desktop-Anwendungen für Kryptowährungs-Wallets und aus Browser-Erweiterungen aus, sammelt Systeminformationen, erstellt Screenshots und greift Dateien mit bestimmten Endungen ab. Trend Micro fand zudem, dass die Schadsoftware Telegram-Dateien und Browser-Passwörter erbeuten kann, in neueren Varianten auch Discord-Tokens. Alle gesammelten Informationen werden archiviert und an den C&C-Server der Angreifer übertragen.

Einige Varianten setzen zusätzlich die Hintertür TunnesshClient ab, die in anderen Fällen über abweichende Downloader eingeschleust wird. TunnesshClient führt von den Angreifern übermittelte Befehle über einen umgekehrten SSH-Tunnel aus. Auf dieser Grundlage agiert die Malware als SOCKS5-Proxy, führt Shell-Befehle aus, listet und durchsucht Dateien, lädt Dateien hoch und herunter oder schickt ganze Ordner an den Server der Angreifer.

Laut Trend Micro veranschaulicht die BoryptGrab-Kampagne ein sich entwickelndes Bedrohungsökosystem, das Nutzer über täuschende Software-Downloads und gefälschte GitHub-Repositories angreift. Die Operation zeige ein zunehmendes Maß an technischer Ausgereiftheit.