Le logiciel malveillant comprend un chargeur personnalisé et une porte dérobée avec de nombreuses fonctionnalités, y compris l’utilisation de l’API Graph de Microsoft pour les communications C2.

Leur analyse a permis de découvrir une variante Linux et une ancienne variante PE du logiciel malveillant, chacune avec plusieurs versions distinctes qui suggèrent que ces outils sont en cours de développement depuis un certain temps.

L’exhaustivité des outils et le niveau d’ingénierie impliqué suggèrent que les développeurs sont bien organisés. La durée prolongée de l’opération et les éléments de la télémétrie d’Elastic Security Labs suggèrent qu’il s’agit probablement d’une campagne d’espionnage.

Voilà le schéma d’exploitation de ce malware PATHLOADER & FINALDRAFT :

Bien que la campagne REF7707 soit caractérisée par un ensemble d’intrusions novatrices, bien conçues et très performantes, les propriétaires de la campagne ont fait preuve d’une mauvaise gestion de la campagne et de pratiques d’évasion incohérentes.