Der Ablauf der Kampagne folgte einem mehrstufigen Muster. Wer auf einen manipulierten Suchtreffer klickte, gelangte auf eine bösartige Download-Website. Die eigentliche Schadsoftware wurde jedoch als ZIP-Archiv aus einem GitHub-Repository geladen. In diesem Archiv befand sich eine MSI-Installationsdatei, die sich als die legitime VPN-Software Pulse Secure ausgab. Neben dieser Marke imitierte die Gruppe laut Microsoft auch weitere Anbieter.
Während der Installation lud das MSI per DLL-Sideloading eine Bibliothek nach, die eine Variante des Informationsdiebs Hyrax startete. Diese sammelte URI- und VPN-Zugangsdaten und übertrug sie an einen von den Angreifern kontrollierten Command-and-Control-Server (C&C).
Sowohl das MSI als auch die DLL waren mit einem gültigen Zertifikat von Taiyuan Lihua Near Information Technology Co., Ltd. signiert, das inzwischen zurückgezogen wurde. Microsoft identifizierte weitere mit demselben Zertifikat signierte Dateien, die sich allesamt als VPN-Anwendungen ausgaben.
Der gefälschte VPN-Client ahmte die echte Anwendung nach und zeigte eine Benutzeroberfläche, die das Opfer zur Eingabe seiner Zugangsdaten aufforderte. Diese Anmeldedaten wurden umgehend an den C&C-Server der Angreifer geschickt. Das installierte MSI verankerte sich zudem dauerhaft im System, indem es die gefälschte VPN-Anwendung über den Windows-Registrierungsschlüssel RunOnce dem Systemstart hinzufügte.
Nach dem Abgreifen der Zugangsdaten zeigte die gefälschte Software eine Installationsfehlermeldung an und lieferte Anweisungen zum Herunterladen des echten Pulse-VPN-Clients. In einigen Fällen öffnete sie sogar den Browser mit der legitimen VPN-Website.
Genau darin liegt laut Microsoft die Tücke der Methode: „Wenn Nutzer anschließend erfolgreich legitime VPN-Software installieren und verwenden und die VPN-Verbindung wie erwartet funktioniert, gibt es für den Endnutzer keine Anzeichen einer Kompromittierung. Nutzer schreiben den anfänglichen Installationsfehler wahrscheinlich technischen Problemen zu, nicht Schadsoftware.“
