Socket zufolge gibt sich das verwendete Go-Modul als DNS- beziehungsweise Subdomain-Scanner aus, der auf dem legitimen Open-Source-Projekt dnsub basiert. Tatsächlich enthält es jedoch einen PowerShell-Befehl, der noch vor jeder eigentlichen Scan-Logik ausgeführt wird. Dieser Befehl ist laut Socket durch übermäßige horizontale Leerzeichen verborgen.
Das Modul lädt ein PowerShell-Skript nach und startet es auf eine Weise, die Beschränkungen der Richtlinie zur Skriptausführung umgeht. Dieses Skript holt wiederum von öffentlichen Dead Drops eine Nutzlast, die mehrere Aufgaben übernimmt: Sie fungiert als Resolver, Downloader, Entpacker und Starter. Nach Angaben von Socket sucht sie verschlüsselte Metadaten zur Nutzlast, entschlüsselt eine URL, lädt ein passwortgeschütztes Archiv herunter, entpackt es und führt dessen Inhalt aus.
Für diese Kette setzt der Akteur nicht auf eine einzelne fest eincodierte Adresse. Stattdessen werden mehrere öffentliche Plattformen genutzt, um gespiegelt verschlüsseltes Resolver-Material bereitzustellen. Socket nennt als in das Skript eingebettete Dead-Drop-Quellen Pastebin, Rlim, eine an „Muck“ angelehnte Infrastruktur sowie Ausweichorte auf öffentlichen Plattformen wie YouTube, Instagram, Telegram, Google Docs und GitCode.
Am Ende der Ausführungskette stehen verschiedene Windows-Schadprogramme. Socket nennt darunter AsyncRAT, Quasar RAT, eine RAT im Stil von Remcos, Infostealer und Spyware. Nicht alle mit „Operation Muck and Load“ verknüpften Repositories dienten nur als Köder: Einige lieferten die Malware auch direkt aus, entweder eingebettet in die Quellbäume oder über GitHub-Release-Assets.
Nach eigenen Angaben identifizierte Socket in den untersuchten Workflow-Repositories des Bedrohungsakteurs mindestens 14 eindeutig bestätigte Malware-Dateien. Zu diesem bestätigten Nutzlastsatz gehörten demnach Trojan-Loader und -Downloader, der Infostealer Vidar, Dropper- und Spyware-Nutzlasten sowie mit XMRig und BitMiner verknüpfte Monero-Kryptominer.
Auffällig ist auch das Veröffentlichungsmuster des Pakets. Seit dem 24. Januar 2026 habe der Akteur mehr als 1.200 Versionen publiziert, davon 700 bösartige, berichtet Socket. Als wahrscheinliche Ursache nennt das Unternehmen keine normale Release-Entwicklung, sondern einen eigenen GitHub-Actions-Workflow des Angreifers, der wiederholt Zeitstempel-Commits erzeuge, die als Go-Pseudo-Versionen erscheinen könnten.
Socket sieht zudem Überschneidungen zwischen „Operation Muck and Load“ und früher beobachteten Aktivitäten, die mit der E-Mail-Adresse „ischhfd83“ in Verbindung gebracht wurden. Auch dort seien Domains mit Bezug zu „Muck“ verwendet worden.
