Der Einstieg in die Angriffskette beginnt laut Blackpoint Cyber mit der Datei „nvidia-sysruntime.exe“. Statt Informationen für die Command-and-Control-Infrastruktur fest in den Binärcode einzubauen, übernimmt die Malware ihre Laufzeitkonfiguration über Kommandozeilenargumente. Darüber lassen sich zentrale Parameter für die Kommunikation mit dem entfernten Server festlegen, darunter die Serverangaben „pipicka[.]xyz“ und das Abrufintervall des Implantats. Alternativ können Angreifer diese Werte auch gesammelt in einem einzelnen Base64-kodierten Argument übergeben.
Nach Einschätzung der Forscher erhöht dieses Verfahren die Wiederverwendbarkeit der Malware deutlich. Weil die Werte erst beim Start übergeben werden, kann dieselbe kompilierte Binärdatei mit unterschiedlicher Infrastruktur, gegen verschiedene Organisationen oder in getrennten Kampagnen eingesetzt werden, ohne auf einen fest eincodierten Server angewiesen zu sein.
Die Konfiguration speichert LabubaRAT anschließend in einer lokalen SQLite-Datenbank. Danach beginnt die Malware mit Erkundungsaktivitäten und erfasst, welche Webbrowser und Sicherheitsprodukte auf dem System installiert sind. Konkret prüft sie auf Google Chrome, Mozilla Firefox, Microsoft Edge und Brave sowie auf Microsoft Defender, CrowdStrike, SentinelOne, Carbon Black, Sophos, Malwarebytes, Bitdefender, ESET, Kaspersky, McAfee, Symantec und Trend Micro.
Zusätzlich sammelt der Schadcode den Hostnamen, die Größe des Arbeitsspeichers, das CPU-Modell und den Status der Windows-Benutzerkontensteuerung (UAC). Blackpoint Cyber zufolge dient diese Bestandsaufnahme dazu, die Umgebung für die nächste Phase vorzubereiten, weil bestimmte RAT-Funktionen von den auf dem System vorhandenen Sicherheitswerkzeugen abhängen können.
Ist LabubaRAT aktiv, unterstützt es eine breite Palette von Funktionen. Dazu zählen die Ausführung von Befehlen, PowerShell-Ausführung, JavaScript-Ausführung, das Erstellen von Bildschirmfotos, Hoch- und Herunterladen von Dateien, der Umgang mit Archiven und die Unterstützung eines SOCKS5-Proxys. Nach Darstellung von Blackpoint Cyber reicht dieses Funktionsspektrum aus, um mit dem Host zu interagieren, Dateien in die Umgebung hinein- und herauszubewegen, Datenverkehr über das System zu leiten und den Zugriff aufrechtzuerhalten, ohne auf einen separaten Loader oder ein eng begrenztes Folgewerkzeug angewiesen zu sein.
Den Namen leitet die Malware von der Bezeichnung „LabubaPanel“ ab, die bei ihrer C2-Infrastruktur auftaucht, sowie von einem Labubu-bezogenen Favicon. Für Blackpoint Cyber ist diese Bezeichnung zwar der deutlichste äußere Hinweis auf den Namen, wichtiger sei aber die Struktur im Hintergrund: ein in Rust gebauter RAT mit Framework-Charakter, der für Konfiguration, Registrierung und Betrieb über mehrere Einsätze hinweg ausgelegt ist.
Die Forscher fassen LabubaRAT als vollwertiges Fernzugriffswerkzeug auf, das Laufzeitkonfiguration, lokalen Status, Host-Profiling, mehrere Kommunikationspfade und die Auftragsausführung durch einen Operator in einem einzigen Implantat vereint. Zudem kann die Malware laut Blackpoint Cyber einen automatischen Start auf Benutzerebene aufrechterhalten.
