Laut der von Cisco Talos veröffentlichten Analyse beginnt die Angriffskette mit einer HTA-Datei, die einen trojanisierten NSIS-Installer nachlädt. Dieser enthält einen Python-Loader, der als Textdatei mit dem Namen LICENSE.txt getarnt ist. Der Loader verändert die Windows-Registry, um Persistenz einzurichten, und entschlüsselt anschließend den Fernzugriffs-Trojaner Starland RAT, den er in den Speicher lädt.
Nach dem Start prüft Starland, ob es in einer Sandbox-Umgebung läuft. Danach legt die Malware geplante Aufgaben sowie Einträge im Autostart-Ordner an, um auf dem System zu bleiben, und versucht zudem, ihre Rechte auszuweiten. Cisco Talos zufolge durchsucht die Schadsoftware kompromittierte Systeme nach verschiedenen Datentypen und kann außerdem Bildschirmfotos des Desktops anfertigen, Shell-Befehle ausführen, 32- oder 64-Bit-Shellcode einschleusen und weitere Nutzlasten wie EXE-, MSI-, DLL- oder ZIP-Dateien herunterladen.
In den beobachteten Angriffen diente die 64-Bit-Shellcode-Kette dazu, den Infostealer CastleStealer nachzuladen. Die 32-Bit-Kette lieferte dagegen den Fernzugriffs-Trojaner Remcos RAT aus. CastleStealer zielt laut Cisco Talos auf Browser-Zugangsdaten, Informationen aus Kryptowallets, Sitzungen von Discord und Telegram, Steam-Zugangsdaten sowie Dateien aus dem Dateisystem.
Remcos RAT bringt weitere Überwachungs- und Fernsteuerungsfunktionen mit. Dazu gehören Tastatureingaben mitprotokollieren, Aufnahmen über Webcam und Bildschirm, Audioaufzeichnung, Überwachung der Zwischenablage, Dateiverwaltung und die entfernte Ausführung von Befehlen.
Besonders auffällig ist nach Einschätzung von Cisco Talos die Ausfallsicherung in der Kommando-und-Kontroll-Kommunikation von Starland. Falls die fest einprogrammierte Adresse nicht erreichbar ist, greift die Malware auf einen Redundanzmechanismus zurück. Dieser fragt einen Smart Contract auf Polygon ab, in dem eine per XOR verschlüsselte Ausweich-Domain hinterlegt ist.
Darüber hinaus entdeckten die Talos-Forscher bei UAT-11795 ein zuvor nicht dokumentiertes PowerShell-C2-Framework namens WLDR. Das Framework nutzt mit PBKDF2-SHA256 verschlüsselte Beaconing- und Kommunikationsmechanismen, arbeitet vollständig im Speicher und koppelt die Auslieferung weiterer Nutzlasten an die Hardware-Kennung des jeweiligen Opfers.
Zur Abwehr verweist Cisco Talos auf die in seinem Bericht veröffentlichten Kompromittierungsindikatoren. Außerdem raten die Forscher dazu, keine im Internet gefundenen Befehle auszuführen, deren Funktion unklar ist, und Software nur aus bestätigten offiziellen Portalen der jeweiligen Hersteller herunterzuladen.
