Desde setembro de 2024, um grupo de hackers conhecido como Desert Dexter tem utilizado Facebook Ads e canais no Telegram para distribuir uma versão modificada do malware AsyncRAT. A campanha já afetou cerca de 900 vítimas no Oriente Médio e Norte da África, incluindo Líbia, Arábia Saudita, Egito, Turquia, Emirados Árabes Unidos, Catar e Tunísia. Os ataques começam com a criação de contas temporárias e canais de notícias no Facebook, que promovem anúncios contendo links maliciosos.  Esses links levam a arquivos hospedados em serviços de compartilhamento ou no próprio Telegram, onde os usuários são induzidos a baixar um arquivo infectado.

A variante do AsyncRAT usada pelo grupo inclui um keylogger offline, busca por 16 carteiras de criptomoedas e estabelece conexão com um bot no Telegram. O ataque é iniciado por um arquivo RAR contendo um script JavaScript ou Batch, que aciona um PowerShell para executar o segundo estágio da infecção. O malware encerra processos do .NET, apaga arquivos específicos do sistema e cria novos scripts maliciosos para manter a persistência. Em seguida, coleta dados do dispositivo, tira capturas de tela e injeta o AsyncRAT no aspnet_compiler.exe. Pesquisadores da Positive Technologies encontraram comentários em árabe no código do malware, sugerindo a origem dos hackers.

Também foi identificado um canal no Telegram chamado “dexterlyly”, criado em outubro de 2024, além do uso da ferramenta Luminosity Link RAT.As principais vítimas são usuários comuns e funcionários dos setores de petróleo, construção civil, TI e agricultura. Embora as técnicas não sejam sofisticadas, a combinação de redes sociais, serviços legítimos e temas geopolíticos tem facilitado a disseminação do golpe. Enquanto isso, a empresa QiAnXin revelou uma campanha similar, chamada Operação Sea Elephant, que ataca instituições científicas na China para roubar informações sobre ciências oceânicas. O grupo por trás desse ataque, identificado como UTG-Q-011, tem ligações com hackers da Índia.