O agente de ameaças conhecido como FIN8 foi observado usando uma versão reescrita de um backdoor chamado Sardonic para entregar o ransomware BlackCat.

O grupo ressurgiu em março de 2021 com uma versão atualizada do BADHATCH, seguindo de um implante sob medida completamente novo chamado Sardonic, que foi divulgado pela Bitdefender em agosto de 2021.

O backdoor Sardonic baseado em C++ tem a capacidade de coletar informações do sistema e executar comandos, e possui um sistema de plug-in projetado para carregar e executar cargas adicionais de malware fornecidas como DLLs.

Ao contrário da variante anterior, que foi projetada em C++, a última iteração contém alterações significativas, com a maior parte do código-fonte reescrito em C e modificado para evitar deliberadamente semelhanças.

O Sardonic, além de oferecer suporte a até 10 sessões interativas no host infectado para o agente da ameaça executar comandos maliciosos, oferece suporte a três formatos diferentes de plug-in para executar DLL e shellcode adicionais. A decisão do grupo de expandir de ataques de ponto de venda para a implantação de ransomware demonstra a dedicação dos agentes de ameaças em maximizar os lucros das organizações vítimas.