Nach Darstellung von Kaspersky ist GoSerpent als Backdoor und Remote-Access-Trojaner in Go umgesetzt. Frühere Varianten des Implantats seien bereits seit 2021 gegen Opfer in Südostasien verwendet worden, aktuelle Ausführungen sogar noch in diesem Jahr. Die nun beschriebene Aktivität sei seit Ende 2025 zu beobachten und richte sich gezielt gegen staatliche und diplomatische Stellen in der Region.
Technisch arbeitet die Malware mit verschlüsselten und Base64-kodierten Kommandozeilenargumenten, die die Adresse des Command-and-Control-Servers sowie ein Kommunikationspasswort enthalten. Nach der Entschlüsselung verbindet sich die Backdoor über eine verschlüsselte Verbindung mit dem C2-Server. Als Schlüssel dient dabei laut Kaspersky der SHA256-Hash des Kommunikationspassworts.
Die Angreifer nutzen GoSerpent, um zusätzliche Werkzeuge in kompromittierten Umgebungen zu platzieren. Kaspersky erklärt, dass die Malware SOCKS5-Proxy-Server auf infizierten Hosts einrichten kann. So lasse sich Verkehr über kompromittierte Systeme leiten, um auf andere Netze zuzugreifen und zugleich die tatsächlichen IP-Adressen der Angreifer zu verschleiern. Außerdem könne die Backdoor weitere Schadwerkzeuge ausrollen, darunter ThumbcacheService zur Dateisammlung, Mimikatz zum Auslesen von Zugangsdaten und QuarksDumpLocalHash zum Extrahieren lokaler Passwort-Hashes.
Das erklärte Ziel der Operation ist laut den Forschern das Einsammeln sensibler Dateien und deren Vorbereitung für eine spätere Exfiltration. Dafür werde ThumbcacheService genutzt. Parallel dazu setzten die Angreifer über GoSerpent auch Werkzeuge zum Auslesen von Anmeldedaten ein, um Systemzugänge zu erfassen, die für den Abfluss von Daten über freigegebene Netzlaufwerke benötigt würden.
Wie Sicherheitsforscherin Noushin Shabab berichtet, kehrten die Angreifer im Mai 2026 in eine bereits kompromittierte Umgebung zurück und brachten ein weiterentwickeltes Set an Werkzeugen mit. Dazu gehörten ein neuer Stowaway RAT, ein Proxy-Werkzeug mit Ähnlichkeiten zur ursprünglichen Malware sowie ein weiteres unauffälliges Tool, das sensible Daten exfiltrieren sollte, die in den vorherigen Monaten über eine Netzwerkfreigabe gesammelt worden waren.
Kaspersky bewertet vor allem die abgestimmte Nutzung mehrerer Werkzeuge als bemerkenswert. Besonders die Kette von ThumbcacheService bis TmcLoader beziehungsweise TmcPayload deute auf eine ausgefeilte operative Planung hin. Eine eindeutige Zuschreibung bleibe zwar unsicher, doch der Sicherheitsanbieter sieht bei Zielauswahl, technischen Fähigkeiten und operativen Überschneidungen Parallelen zu TetrisPhantom. Diese von Kaspersky im Oktober 2023 dokumentierte Gruppe hatte demnach Regierungsstellen im asiatisch-pazifischen Raum angegriffen und dabei einen speziellen Typ sicherer USB-Laufwerke missbraucht, die mit Hardware-Verschlüsselung geschützt sind.
Unabhängig davon hat Cyderes Howler Cell eine gezielte Cyberspionage-Operation beschrieben, die der DoNot Team zugeschrieben wird. Ziel seien Militär- und Verteidigungseinrichtungen in Bangladesch gewesen. Laut den Forschern Reegun Jayapaul, Rahul Ramesh und Baskar M kamen Spear-Phishing-Mails mit einem präparierten RTF-Dokument zum Einsatz, das per Remote-Template-Injektion ein VBA-Makro nachlädt. Das Makro installiert einen DLL-Implantat mit Persistenz über geplante Aufgaben, getarnt als OneDrive-Telemetrie, profiliert den Host und meldet sich über HTTPS bei einem C2-Server. Die Zuordnung zu DoNot Team stützt Cyderes Howler Cell auf ähnliche C2-URI-Pfade, übereinstimmendes AES-Schlüsselmaterial, VBA-basierte Shellcode-Injektion und eine geofenced Auslieferung, bei der Nicht-Ziele saubere Vorlagen erhalten.
