Check Point beschreibt Cavern Manticore als fortgeschrittenen persistenten Akteur, der insbesondere Regierungsorganisationen und IT-Dienstleister in Israel ins Visier nimmt. Die Forscher sehen Verbindungen zum iranischen Ministerium für Nachrichtendienste und Sicherheit, dem MOIS, und nennen zudem mögliche Bezüge zur OilRig-Untergruppe Lyceum, die auch unter den Namen Hexane und SiameseKitten bekannt ist.
Technisch stützt sich die Kampagne auf ein modulares C&C-Framework aus .NET-Komponenten. Nach Darstellung von Check Point liegt dessen Besonderheit nicht in klassischen Methoden wie Packern, Kontrollfluss-Verschleierung oder Zeichenkettenverschlüsselung. Stattdessen werde das jeweilige Kompilierungsformat selbst zur Schicht gegen Analyse, weil sich die drei verwendeten Formate nur mit unterschiedlichen Werkzeugketten und Arbeitsabläufen zurückanalysieren ließen und Analysten zwischen ihnen wechseln müssten.
Die Architektur trennt Kommunikationsfunktionen von Fähigkeiten, die erst nach einer Kompromittierung nachgeladen werden. Dadurch können die Angreifer ihre Bereitstellung an einzelne Opfer anpassen und den Zugriff auf kompromittierte Umgebungen erweitern. Der beobachtete Infektionsweg beginnt laut Check Point mit dem Missbrauch der Software-Update-Funktion von SysAid, um eine WinDirStat-DLL per Sideloading einzubinden. Das führt anschließend zur Ausführung des Cavern-Agenten.
Sobald die Command-and-Control-Kommunikation steht, lädt der Agent abhängig von den Befehlen des Operators weitere Module nach. Check Point nennt dafür dedizierte Module für Dateioperationen, die Auflistung und Manipulation von Datenbanken, LDAP-Brute-Force, Netzwerkaufklärung und SMB-Brute-Force sowie SOCKS5-Proxy- und WebSocket-/WSS-Tunneling. Der Agent verwendet dabei sowohl verwaltete als auch native Module.
Für zusätzliche Abschirmung kapselt der Agent jedes Modul in eine eigene AppDomain. Diese wird nach dem Entladen des Moduls beendet, wodurch die Komponenten aus dem Speicher entfernt werden und laut Check Point keine analysierbaren Assembly-Artefakte zurückbleiben. Außerdem löscht der Agent alle Dateien und Unterverzeichnisse im Arbeitsverzeichnis mit Ausnahme des Kommunikationsmoduls, der Konfigurationsdatei und der Protokolldateien.
Check Point geht davon aus, dass das Cavern-Framework wahrscheinlich mithilfe eines KI-Modells erstellt wurde. Gleichzeitig verweisen die Forscher auf Code-Kommentare und Tippfehler, gezielt gewählte Namen sowie verschiedene Inkonsistenzen zwischen Modulen als Hinweise darauf, dass ein Mensch an der Entwicklung maßgeblich und inhaltlich beteiligt gewesen sei.
In den beobachteten Eindringversuchen gegen Ziele in Israel setzte die Gruppe nach Angaben von Check Point Fernüberwachungs- und Fernverwaltungswerkzeuge für seitliche Bewegungen zwischen Opfern ein. Zusätzlich nutzte sie browserbasierte Fernzugriffstechniken auf Desktops, um auf Umgebungen der Opfer zuzugreifen, und missbrauchte eingebaute Funktionen wie Fern-Druck für die Exfiltration von Daten.
Besonders auffällig ist laut Check Point der Umgang der Angreifer mit Lieferketten im IT-Umfeld. Jüngste Kampagnen deuteten darauf hin, dass der Akteur die komplexen IT-Zulieferketten innerhalb des israelischen Cyber-Ökosystems gut verstehe. In mehreren Fällen beobachteten die Forscher demnach, dass sich die Gruppe von einem zunächst kompromittierten IT-Anbieter zu einem zweiten Dienstleister weiterbewegte, bevor sie schließlich die eigentlich anvisierte Zielorganisation erreichte.
