Group-IB beschreibt mehrere Varianten der Angriffskette. In einem Fall fordert ein präpariertes Microsoft-Excel-Dokument die Nutzer auf, Makros zu aktivieren, um die Infektion auszulösen und schließlich CHAR auf dem System abzulegen. Eine andere Variante desselben Angriffs führt zum Einsatz des Downloaders GhostFetch, der anschließend GhostBackDoor nachlädt.
Eine dritte Version greift auf Köder wie Flugtickets und Berichte zurück – im Unterschied zu Ködern, die ein Energie- und Schifffahrtsdienstleistungsunternehmen im Nahen Osten imitieren. Auf diesem Weg wird der Downloader HTTP_VIP verteilt, der wiederum die Fernwartungssoftware AnyDesk installiert.
Ein eingesetzter PowerShell-Befehl ist darauf ausgelegt, einen SOCKS5-Reverse-Proxy oder eine weitere Hintertür namens Kalim auszuführen, aus Webbrowsern gestohlene Daten hochzuladen und unbekannte ausführbare Dateien mit den Bezeichnungen “sh.exe” und “gshdoc_release_X64_GUI.exe” zu starten.
Die Analyse des CHAR-Quellcodes durch Group-IB ergab Hinweise auf eine durch künstliche Intelligenz unterstützte Entwicklung, erkennbar an Emojis in Debug-Strings. Dieser Befund deckt sich mit Erkenntnissen von Google aus dem vergangenen Jahr, wonach die Gruppe mit generativen KI-Werkzeugen experimentiert, um die Entwicklung eigener Schadsoftware für Dateiübertragung und Fernausführung zu erleichtern.
Bemerkenswert ist zudem, dass CHAR eine ähnliche Struktur und Entwicklungsumgebung aufweist wie die in Rust geschriebene Malware BlackBeard (auch Archer RAT und RUSTRIC genannt). Diese war von CloudSEK und Seqrite Labs als Werkzeug der Gruppe für Angriffe auf verschiedene Ziele im Nahen Osten markiert worden.
Darüber hinaus wurde beobachtet, dass MuddyWater kürzlich offengelegte Schwachstellen auf öffentlich erreichbaren Servern ausnutzt, um sich einen ersten Zugang zu den Netzwerken der Ziele zu verschaffen.
Group-IB stuft die Gruppe weiterhin als aktive Bedrohung innerhalb der META-Region (Naher Osten, Türkei und Afrika) ein, wobei die aktuelle Operation vor allem auf Organisationen in der MENA-Region abzielt. Die fortgesetzte Nutzung von KI-Technologie in Verbindung mit der laufenden Entwicklung eigener Schadsoftware und Werkzeuge sowie diversifizierter Command-and-Control-Infrastrukturen unterstreiche nach Einschätzung des Unternehmens die Absicht der Gruppe, ihre Operationen auszuweiten.
