Die Infektionskette beginnt damit, dass das Opfer eine schädliche Windows-Verknüpfungsdatei (LNK) öffnet. Diese startet ein PowerShell-Skript, das in der LNK-Datei eingebettete Schadlasten extrahiert. Zur Ablenkung öffnet das Skript zugleich ein Köderdokument. Konkrete Opfer nannten die Forscher nicht, sie weisen aber darauf hin, dass es sich bei dem Dokument um eine arabische Übersetzung eines nordkoreanischen Zeitungsartikels über den Konflikt zwischen Palästina und Israel handelt.

Das PowerShell-Skript lädt zunächst RESTLEAF, ein Implantat, das über Zoho WorkDrive mit der Befehls- und Kontrollinfrastruktur (C2) von APT37 kommuniziert. RESTLEAF holt verschlüsselten Shellcode vom C2-Server, um die nächste Stufe nachzuladen: einen Ruby-basierten Loader namens SNAKEDROPPER. Dabei wird die Laufzeitumgebung Ruby 3.3.0 samt Interpreter, Standardbibliotheken und Gem-Infrastruktur installiert, getarnt als vermeintliches USB-Werkzeug mit dem Namen usbspeed.exe.

Laut Zscaler wird SNAKEDROPPER zur Ausführung vorbereitet, indem die Standarddatei operating_system.rb von RubyGems durch eine manipulierte Version ersetzt wird, die beim Start des Ruby-Interpreters automatisch geladen wird – ausgelöst über eine geplante Aufgabe (rubyupdatecheck), die alle fünf Minuten läuft.

In der Folge werden die Backdoor THUMBSBD als Ruby-Datei ascii.rb sowie die Schadsoftware VIRUSTASK als Datei bundler_index_client.rb nachgeladen. THUMBSBD sammelt Systeminformationen, legt Befehlsdateien ab und bereitet Daten zur Exfiltration vor. Seine zentrale Funktion besteht darin, versteckte Verzeichnisse auf erkannten USB-Laufwerken anzulegen und Dateien dorthin zu kopieren. So werde der Wechseldatenträger zu einer Zwischenschicht, die ansonsten getrennte Netzsegmente überbrückt, erklären die Zscaler-Forscher.

VIRUSTASK hat die Aufgabe, die Infektion auf weitere isolierte Maschinen zu tragen: Es versteckt legitime Dateien auf den Laufwerken und ersetzt sie durch bösartige Verknüpfungen, die beim Öffnen den eingebetteten Ruby-Interpreter ausführen. Der Infektionsprozess wird nur ausgelöst, wenn der eingesteckte Datenträger mindestens 2 GB freien Speicher hat.

ThumbSBD liefert zudem FOOTWINE aus, eine Windows-Spyware-Backdoor, die als Android-Paketdatei (APK) getarnt ist und Tastatureingaben mitschneidet, Screenshots erstellt sowie Audio- und Videoaufnahmen, Dateimanipulation, Zugriff auf die Registry und Remote-Shell-Befehle unterstützt. In der Kampagne beobachtete Zscaler außerdem BLUELIGHT, eine voll funktionsfähige Backdoor, die zuvor bereits dieser nordkoreanischen Gruppe zugeschrieben wurde.

Zscaler ordnet die Kampagne mit hoher Zuverlässigkeit APT37 zu – gestützt unter anderem auf den Einsatz von BLUELIGHT, den Einstieg über LNK-Dateien, die zweistufige Shellcode-Auslieferung und die für diesen Akteur typische C2-Infrastruktur. Auch das Köderdokument passe zum Opferprofil der Gruppe, da es ein Interesse an nordkoreanischen Mediennarrativen erkennen lasse.