Вредоносная кампания отличается продуманной инфраструктурой и высокой степенью маскировки, что делает её особенно опасной для организаций, обрабатывающих чувствительные данные.
Основной способ заражения — фишинговые письма, построенные на запугивающих сценариях, связанных с расследованиями или нарушениями авторских прав, пишет Securitylab. Такие письма создают ощущение срочности и вынуждают получателей перейти по ссылке. Открытие вложенного файла запускает цепочку выполнения ResolverRAT, используя технику DLL Sideloading. При этом зловредный код не записывается на диск — он существует только в оперативной памяти, что затрудняет обнаружение вредоноса.Кампания носит международный характер: злоумышленники подстраивают тексты писем под языки целевых стран, включая хинди, итальянский, чешский, турецкий, португальский и индонезийский. Это говорит о попытке масштабного охвата и увеличении доли успешных заражений путём регионализации приманок.
По технической реализации ResolverRAT отличается сложной многоступенчатой загрузкой и устойчивыми механизмами закрепления в системе. Помимо внедрения в реестр и файловую систему, используется уникальная схема аутентификации через сертификаты, позволяющая обойти системные корневые центры сертификации. Также реализована система ротации IP-адресов командного сервера, что позволяет продолжать работу даже при блокировке основного канала связи.
Для уклонения от анализа троян применяет пиннинг сертификатов, обфускацию кода и нестандартные интервалы связи с C2-сервером. Это значительно снижает вероятность его обнаружения средствами мониторинга безопасности. Размер передаваемых данных свыше 1 МБ разбивается на мелкие фрагменты по 16 КБ, что ещё больше усложняет детектирование.
Исследователи Morphisec отмечают сходство с фишинговыми атаками, ранее распространявшими вредоносные программы Lumma и Rhadamanthys. Обнаружены общие элементы инфраструктуры и методов доставки, что может свидетельствовать о взаимодействии различных групп или использовании аффилированной модели распространения.