Atores mal-intencionados têm utilizado o malware NiceRAT para integrar dispositivos infectados em uma botnet. Especialmente direcionados a usuários sul-coreanos, esses ataques distribuem o malware disfarçado de software crackeado, como falsificações do Microsoft Windows ou ferramentas que simulam verificações de licença para o Microsoft Office. A disseminação do malware é facilitada pelo compartilhamento entre usuários, independentemente do ponto inicial da distribuição, devido à prevalência e aceitação desses programas crackeados.

Para complicar ainda mais a detecção, os agentes de ameaça frequentemente instruem como desativar programas anti-malware durante a distribuição inicial do NiceRAT. Além disso, exploram vias alternativas de distribuição, como o uso de uma botnet composta por computadores zumbis que hospedam o trojan de acesso remoto (RAT) NanoCore RAT. Essa abordagem reflete práticas anteriores, como o uso do malware Nitol DDoS para disseminar o Amadey Bot.

NiceRAT, um malware RAT e stealer desenvolvido em Python, utiliza um Discord Webhook para seu comando e controle (C2). Isso possibilita aos criminosos cibernéticos extrair informações sensíveis dos sistemas comprometidos. Lançado inicialmente em 17 de abril de 2024, o NiceRAT está atualmente na versão 1.1.0. Além disso, sua disponibilidade em uma versão premium sugere que é comercializado sob o modelo de malware como serviço (MaaS), ampliando seu alcance entre os cibercriminosos.