Um backdoor PowerShell desconhecido foi descoberto em conjunto com uma nova variante do malware Zloader/SilentNight. Este backdoor é projetado para permitir maior acesso para atores maliciosos, facilitando atividades de reconhecimento e a implantação de malware adicional, incluindo o Zloader. Utilizando técnicas sofisticadas de ofuscação, o backdoor potencialmente trabalha ao lado da nova variante do Zloader. Os pesquisadores esclareceram que não há evidências de que a combinação de malwares tenha sido especificamente direcionada a sistemas específicos.
O ator da ameaça associado a essa atividade tem ligações com o Zloader/SilentNight, que a Agência de Segurança Cibernética e Infraestrutura (CISA) conectou publicamente ao grupo Black Basta. Isso sugere um foco em atividades de invasão e resgate. Originalmente desenvolvido como um trojan bancário, o Zloader evoluiu significativamente ao longo dos anos, ganhando novas funcionalidades e estabelecendo associações com vários grupos russos de ransomware como serviço, incluindo Ryuk, DarkSide e Black Basta.
O novo backdoor PowerShell descoberto compartilha algumas características com um malware previamente identificado conhecido como PowerDash. Particularmente, o backdoor se assemelha ao PowerDash na maneira como prepara os dados do sistema para transmissão a servidores de comando e controle (C2) e no uso de técnicas de ofuscação semelhantes. O uso do PowerShell, uma ferramenta legítima de automação do Windows, por mais de 90% das famílias de malware destaca sua utilidade para fins maliciosos, como evasão de detecção e implantação de malware adicional.