Die Angreifer kombinieren dabei die bereits bekannte SNOWLIGHT-Malware mit dem Remote-Access-Trojaner (RAT) VShell, einem Open-Source-Tool, das als besonders schwer detektierbar gilt. Die initiale Infektion erfolgt über ein Bash-Skript, das zwei schädliche Binärdateien nachlädt: dnsloger – Verbindung mit SNOWLIGHT-Malware – und system_worker – Verbindung mit Sliver und Cobalt Strike. Die Besonderheit dieser Kampagne liegt im Einsatz von fileless Payloads, die vollständig im Arbeitsspeicher ausgeführt werden, sowie in der Verwendung von WebSockets für die C2-Kommunikation – ein Vorgehen, das auf maximale Tarnung gegenüber traditionellen Erkennungsmethoden abzielt.
UNC5174 ist laut Mandiant und ANSSI als staatlich unterstützter Akteur mit Fokus auf Cyberspionage und Zugriffsvermittlung bekannt. Die aktuelle Infrastruktur nutzt Domain-Spoofing bekannter Marken wie Cloudflare oder Telegram, um Phishing-Opfer gezielt zu kompromittieren. Alle identifizierten Tools sind stark individualisiert und ermöglichen nach der Infektion umfassenden Remote-Zugriff auf betroffene Systeme. Der Hintergrund der Angriffe legt nahe, dass die Aktivitäten sowohl der Cyberspionage als auch dem Zugangshandel an kompromittierten Netzwerken dienen. Bereits bei den Olympischen Spielen 2024 wurde UNC5174 mit Angriffen auf Cloud-Dienste von Ivanti in Verbindung gebracht.
Kommentare