Den Einstiegspunkt der von Elastic beschriebenen Infektionskette bildet bincheck[.]io, ein legitimer Dienst zur Prüfung von Bank Identification Numbers (BIN). Die Website wurde kompromittiert, um schädlichen JavaScript-Code einzuschleusen, der ein extern gehostetes PHP-Skript nachlädt. Dieses Skript zeigt dem Opfer anschließend eine gefälschte Cloudflare-Verifizierungsseite und fordert es auf, einen Befehl zu kopieren und in den Windows-Ausführen-Dialog einzufügen, um ein vermeintliches Problem zu beheben.
Dieser Schritt löst die Ausführung eines PowerShell-Befehls aus, der einen Command-and-Control-Server (C2) kontaktiert, um ein PowerShell-Skript der zweiten Stufe abzurufen. Dieses Skript manipuliert die Windows-Ereignisprotokollierung (ETW) und das Antiviren-Scanning (AMSI) und legt anschließend einen Lua-basierten Loader ab. In der letzten Stufe entschlüsselt das Lua-Skript Shellcode und führt ihn im Arbeitsspeicher aus, wodurch MIMICRAT auf das System gelangt.
Für die Kommunikation mit dem C2-Server nutzt der Trojaner HTTPS. Über diesen Kanal nimmt er rund zwei Dutzend Befehle entgegen, die unter anderem die Steuerung von Prozessen und Dateisystem, interaktiven Shell-Zugriff, Token-Manipulation, Shellcode-Injektion und SOCKS-Proxy-Tunneling ermöglichen.
Nach Einschätzung von Elastic weist die Kampagne taktische und infrastrukturelle Überschneidungen mit einer weiteren ClickFix-Kampagne auf, die Huntress dokumentiert hat. Diese führt zum Einsatz des Loaders Matanbuchus 3.0, der wiederum als Vehikel für denselben RAT dient.
Laut dem Sicherheitsforscher Salim Bitam unterstützt die Kampagne 17 Sprachen, wobei die Köderinhalte dynamisch an die Spracheinstellungen des Browsers des Opfers angepasst werden, um die Reichweite zu erhöhen. Die identifizierten Opfer verteilen sich über mehrere Regionen, darunter eine US-amerikanische Universität sowie mehrere chinesischsprachige Nutzer, die in öffentlichen Forendiskussionen dokumentiert sind. Dies deutet nach Einschätzung der Forscher auf ein breit angelegtes, opportunistisches Vorgehen hin.
