Auf der zugehörigen Website beschreibt der Anbieter die Quima-Suite als Paket aus vier Werkzeugen: einem RAT, einer Builder-Suite, einem Web-Loader und einem HTML-Dropper. Der Autor wirbt damit, alles sei um das herum gebaut, „was Windows bereits vertraut“. Weiter heißt es dort, die Ausführung nutze native Pfade, systemeigene Ressourcen und „saubere“ Ausgaben. Weder Antivirenprogramme noch Nutzer würden etwas Ungewöhnliches sehen.

Besonders hebt LevelBlue den Quima Loader hervor. Über ein eigenes Bedienfeld kann ein Angreifer demnach eine EXE-Datei hochladen, ein Zustellformat wie HTA oder LNK auswählen und dazu eine Landingpage-Vorlage festlegen, etwa eine gefälschte CAPTCHA-Prüfung oder Warnungen zu Software-Updates. Anschließend erzeugt das Werkzeug einen Stager-Link, der beim Öffnen im Browser des Opfers die weitere Infektionskette anstößt.

Der Anbieter verspricht laut dem Forscherbericht vollständige Tarnung unter Windows und Linux, da keine sichtbaren Elemente der Benutzeroberfläche und keine Desktop-Einträge vorhanden seien. Für macOS nennt der Bedrohungsakteur allerdings eine Einschränkung: Funktionen wie Bildschirmaufnahmen und Eingabesteuerung erfordern dort „vom Nutzer erteilte Administratorrechte“.

Gleichzeitig blendet die Website beim Besuch eine Meldung ein, wonach die Plattform „Werkzeuge für offensive Sicherheit bereitstellt, die ausschließlich für professionelle Sicherheitsforschung, autorisierte Penetrationstests und kontrollierte Ausbildungsumgebungen gedacht sind“. Zugleich werde vor einer Nutzung zu „bösartigen, unautorisierten oder illegalen Zwecken“ gewarnt.

Technisch ordnet LevelBlue QuimaRAT als modulares Java-Projekt ein, das mit Apache Maven erstellt wurde. Eingebettet sind Java-Native-Access-Bibliotheken für Windows, Linux und macOS in verschiedenen Architekturen. Zudem dekodiert und verarbeitet die Malware eine interne Konfigurationsdatei, die für Umgebungsprüfung, Persistenz und die Initialisierung des Command-and-Control-Kanals benötigt wird.

Die nativen Komponenten erlauben dem RAT laut den Forschern Chen Aviani und Nikita Kazymirskyi den direkten Zugriff auf Betriebssystem-Programmierschnittstellen über C- und C++-Code. Das spreche für eine gezielte Unterstützung breit angelegter plattformübergreifender Einsätze. Vor der Ausführung stellt die Malware außerdem sicher, dass auf einem infizierten System immer nur eine Instanz läuft. Dazu legt sie im temporären Verzeichnis des Betriebssystems eine Sperrdatei an; erkennt sie, dass bereits eine andere RAT-Instanz diese Datei belegt, beendet sie sich.

QuimaRAT ermittelt den Namen des laufenden Betriebssystems und entscheidet auf dieser Basis über die nächsten Schritte. Dazu gehören laut LevelBlue das Umgehen von Sandbox- und virtuellen Umgebungen, die Einrichtung von Persistenz und das Nachladen der Hauptnutzlast. Ist in der Konfiguration die Funktion Binder aktiviert, kann die Malware zusätzlich eine weitere eingebettete Nutzlast oder eine Köderanwendung gemeinsam mit dem eigentlichen RAT-Prozess starten.

Für Persistenz nutzt QuimaRAT je nach Plattform unterschiedliche Mechanismen: unter Windows Registry-Run-Schlüssel, geplante Aufgaben und den Autostart-Ordner, unter Linux .desktop-Autostart-Einträge und Crontab-Neustartaufgaben sowie unter macOS eine LaunchAgent-Plist-Datei. Hinzu kommt ein optionaler Mechanismus zur Aktualisierung des C2-Hosts über Pastebin, der ebenfalls über die Konfiguration gesteuert wird. So kann die Infrastruktur für die Steuerung dynamisch ausgetauscht werden, ohne die Nutzlast neu erstellen und verteilen zu müssen.

Das Ziel von QuimaRAT ist laut LevelBlue, über TCP mit dem C2-Server zu kommunizieren, alternativ auch über WebSocket, TLS und HTTPS, um Befehle zu empfangen und auszuführen. Eine integrierte Watchdog-Komponente hält den Kanal aktiv und verbindet sich erneut, wenn der Kontakt zum Server abreißt. Unterstützt werden unter anderem Fernbefehle, die Auslieferung zusätzlicher Nutzlasten und Plugins, der Diebstahl von Zugangsdaten, Persistenz, Dateitransfer, Manipulation der Zwischenablage und die Überwachung per Webcam. Zusätzlich beherrscht die Malware auf Windows-Systemen die dateilose Ausführung von Shellcode. LevelBlue bewertet QuimaRAT daher nicht als statisches Einzelimplantat, sondern als modulare Java-RAT-Plattform.