После выполнения взломанных версий на систему жертвы также устанавливает ncat.exe (легитимный инструмент для передачи по сети необработанных данных) и прокси TOR. Помимо прочего, устанавливается пакетный файл chknap.bat, содержащий последовательность команд.
Вместе эти инструменты создают мощный бэкдор, который через TOR обменивается данными со своим C&C-сервером: двоичный файл ncat использует порт прослушивания прокси-сервера TOR ('--proxy 127.0.0.1:9075') и использует параметр '- exec ', который позволяет клиенту отправлять все входящие данные в приложение, а затем получать ответы через сокет (функционал обратной web-оболочки). Вероятнее всего, бэкдор используется в интерактивном режиме человеком-оператором, а не отправляет автоматические запросы жертвам. Функционал бэкдора:
Этот список является неполным, поскольку бэкдор предоставляет злоумышленникам полный контроль над системой, и они могут адаптировать действия под свои текущие потребности.