Nach Angaben von Check Point Research nutzt der Akteur bezahlte oder beworbene Beiträge auf seriösen Nachrichtenseiten, um Aufmerksamkeit für seine Warez zu erzeugen. Hinzu kommen gefälschte Konten auf GitHub und SourceForge, die die jeweiligen Projekte gegenseitig bewerben, sowie ein dedizierter YouTube-Kanal. Auf VirusTotal setzt der Akteur laut Check Point mehrere koordinierte Konten ein, um schädliche Dateien fälschlich als sicher erscheinen zu lassen.

Check Point beschreibt das Vorgehen als eine übergreifende Schein-Reputationsökonomie. Um das bösartige „Tool“ zu pushen, habe der Akteur denselben Werkzeugkasten genutzt, den auch legitime Marken zur Reichweitensteigerung einsetzen: künstlich erhöhte Download-Zahlen, koordinierte Fünf-Sterne-Bewertungen, an Influencer angelehnte Tutorial-Videos und Werbung auf Plattformen, denen Nutzer instinktiv vertrauen. Das Ergebnis sei ein Netz aus gefälschter Glaubwürdigkeit über alle Plattformen hinweg, die ein potenzielles Opfer vor einem Download prüfen könnte.

Die eigentliche Nutzlast ist ein in Rust geschriebener Clipper für Windows und macOS. Die Malware überwacht fortlaufend die Zwischenablage auf Inhalte, die dem Muster einer Kryptowallet-Adresse entsprechen. Wird ein Treffer erkannt, ersetzt sie die Adresse durch eine vom Angreifer kontrollierte Adresse aus einer fest eingebetteten Liste, sodass digitale Vermögenswerte an den Täter umgeleitet werden.

Auffällig ist laut Check Point besonders der Einsatz sogenannter Ghost Networks, um reputationsgetriebene Systeme wie VirusTotal zu vergiften. Durch positive Kommentare und Aufwertungen solle Misstrauen gesenkt und das Vertrauen in die schädlichen Dateien erhöht werden. Ein ähnliches Muster sieht Check Point auf GitHub: Mindestens sechs Konten sollen dort zur Verbreitung und gegenseitigen Bewerbung der Malware betrieben werden. Eines der Repositories kommt demnach auf 146 Sterne und 62 Forks.

Auch auf SourceForge wurden nach Angaben der Forscher Signale künstlich verstärkt. Der Download-Zähler habe 44.485 erreicht, davon sollen verdächtige 37.460 Downloads von Android-Geräten stammen, obwohl der Anbieter nur Versionen für Windows und macOS bereitstelle. Check Point hält den Einsatz einer Android-Farm für eine plausible Erklärung, um die Download-Zahlen auf SourceForge künstlich aufzublähen.

Flankiert wird die Kampagne von einem YouTube-Kanal mit mehr als 91.000 Abonnenten. Der Kanal wurde im Juli 2020 erstellt; die Betreiber erklärten dort, er diene „ausschließlich Bildungszwecken“. Die Videos sind im Stil von Anleitungen gehalten und setzen laut Check Point auf KI-generierte Sprecher sowie positive Kommentare, um den Eindruck von Beliebtheit und Vertrauenswürdigkeit weiter zu verstärken.

Als besonders ungewöhnlich bewertet Check Point den Einsatz eines Pressemitteilungsverteilers wie EIN Presswire. Darüber wurde für die angeblichen Fähigkeiten des Werkzeugs geworben; die Mitteilung wurde anschließend über Partner-Nachrichtenseiten des Dienstes weiterverbreitet, vor allem im USA TODAY Network. Check Point wertet die Manipulation von Stimmung und Reputation auf gemeinschaftsbasierten Plattformen als bedeutsame Verschiebung beim Vertrauensaufbau durch Angreifer.