Pesquisadores do Walmart descobriram um novo malware chamado BackConnect (BC) vinculado ao ransomware QakBot. O BC é uma ferramenta comum usada por invasores para manter a persistência e executar tarefas. Ele foi encontrado na mesma infraestrutura de outro portador de malware, o ZLoader, que foi atualizado para incorporar um DNS (Domain Name System) para comunicações de comando e controle.

Originalmente projetado como um trojan bancário, o BackConnect foi posteriormente adaptado para entregar carga de ransomware a um sistema de destino. O QakBot, juntamente com o IcedID, possui um módulo BC no qual permite que os invasores usem o host como proxy e forneçam um canal de acesso remoto por meio de um componente VNC. A análise do Walmart revelou que o BC era um programa modificado e desenvolvido para coletar informações do sistema, atuando como um programa autônomo para exploração subsequente.

O malware também foi analisado de forma independente pela Sophos, que atribuiu os ataques a um grupo de invasores conhecidos como STAC5777 e STAC5143. Ambos os invasores operaram seus próprios locais do Microsoft Office 365 como parte de seus ataques e exploraram o compartilhamento de tela integrado do Microsoft Teams para instalar backdoors Python e Black Basta. O surgimento do BC, juntamente com o fato de que o Black Basta também distribuiu o ZLoader, sugere um ecossistema de crime cibernético interconectado, onde os desenvolvedores por trás do QakBot estão apoiando a equipe do Black Basta com novas ferramentas. Acredita-se que o malware BC seja um backdoor que permite os invasores a  acessarem o sistema de destino e coletem informações do sistema.