Nach der Analyse von Zscaler ThreatLabz beginnt die Ruby-Jumper-Kampagne damit, dass ein Opfer eine bösartige LNK-Datei öffnet. Diese startet einen PowerShell-Befehl, der das aktuelle Verzeichnis durchsucht, um die Datei anhand ihrer Größe zu lokalisieren. Anschließend extrahiert das von der LNK-Datei gestartete PowerShell-Skript mehrere eingebettete Schadkomponenten aus festen Offsets innerhalb der LNK-Datei – darunter ein Köderdokument, eine ausführbare Datei, ein weiteres PowerShell-Skript und eine Batch-Datei. So beschreibt es der Sicherheitsforscher Seongsu Park.

Eines der eingesetzten Köderdokumente zeigt einen Artikel über den Palästina-Israel-Konflikt, der aus einer nordkoreanischen Zeitung ins Arabische übersetzt wurde. Die übrigen Komponenten treiben die Infektion stufenweise voran: Die Batch-Datei startet PowerShell, das wiederum Shellcode entschlüsselt und lädt. Die so im Arbeitsspeicher gestartete Windows-Datei RESTLEAF nutzt Zoho WorkDrive als Steuerungskanal – nach Angaben der Forscher das erste Mal, dass dieser Akteur den Cloud-Speicherdienst in seinen Kampagnen missbraucht.

Nach erfolgreicher Authentifizierung gegenüber der Zoho-WorkDrive-Infrastruktur mittels eines gültigen Zugriffstokens lädt RESTLEAF Shellcode herunter, der per Process Injection ausgeführt wird. Am Ende steht die Auslieferung von SNAKEDROPPER. Dieser installiert die Ruby-Laufzeitumgebung, richtet über eine geplante Aufgabe Persistenz ein und legt THUMBSBD sowie VIRUSTASK ab.

THUMBSBD ist als Ruby-Datei getarnt und nutzt Wechseldatenträger, um Befehle und Daten zwischen mit dem Internet verbundenen und isolierten Systemen zu übertragen. Die Malware kann Systeminformationen sammeln, eine zweite Nutzlast von einem Server nachladen, Dateien exfiltrieren und beliebige Befehle ausführen. Wird ein Wechseldatenträger erkannt, legt sie darin einen versteckten Ordner an, über den Befehle bereitgestellt oder Ausgaben gespeichert werden.

Zu den über THUMBSBD ausgelieferten Komponenten gehört FOOTWINE, eine verschlüsselte Nutzlast mit integriertem Shellcode-Loader, die zur Überwachung Tastatureingaben protokolliert sowie Audio und Video aufzeichnet. Sie kommuniziert über ein eigenes Binärprotokoll per TCP mit einem Steuerungsserver. Daneben verteilt THUMBSBD auch BLUELIGHT, eine Backdoor, die ScarCruft seit mindestens 2021 zugeschrieben wird. Sie missbraucht legitime Cloud-Anbieter wie Google Drive, Microsoft OneDrive, pCloud und BackBlaze zur Steuerung, um Befehle auszuführen, das Dateisystem zu durchsuchen, Nutzlasten nachzuladen, Dateien hochzuladen und sich selbst zu entfernen.

Ebenfalls als Ruby-Datei ausgeliefert, ähnelt VIRUSTASK in seiner Funktion THUMBSBD und dient als Verbreitungskomponente über Wechseldatenträger, um die Malware auf bislang nicht infizierte, isolierte Systeme zu übertragen. Anders als THUMBSBD, das Befehlsausführung und Exfiltration übernimmt, konzentriere sich VIRUSTASK ausschließlich darauf, Wechseldatenträger zu instrumentalisieren und so den ersten Zugang zu air-gapped Systemen zu erlangen, erläuterte Park. Am kritischsten sei, dass THUMBSBD und VIRUSTASK Wechseldatenträger einsetzen, um die Netztrennung zu umgehen und isolierte Systeme zu infizieren.