Apesar da interrupção em sua infraestrutura, os atores de ameaça por trás do malware QakBot continuam envolvidos em uma campanha de phishing em andamento desde agosto de 2023.

Esta campanha resultou na entrega do ransomware Ransom Knight e do RAT Remcos. De acordo com um novo relatório publicado pela Cisco Talos, a operação policial pode não ter afetado a infraestrutura de entrega de spam dos operadores do QakBot, mas sim apenas seus servidores de comando e controle.

A atividade foi atribuída com moderada confiança aos afiliados do QakBot pela empresa de cibersegurança. Até o momento, não há evidências de que os atores de ameaça tenham retomado a distribuição do carregador de malware após a desativação da infraestrutura.

O QakBot, também conhecido como QBot e Pinkslipbot, surgiu como um trojan bancário baseado em Windows em 2007 e posteriormente desenvolveu capacidades para entregar cargas adicionais, incluindo ransomware.

A mais recente atividade, que começou pouco antes da desativação, envolve um arquivo LNK malicioso provavelmente distribuído por e-mails de phishing. Quando lançado, ele detona a infecção e, finalmente, implanta o ransomware Ransom Knight.