A operação criminosa com motivação financeira, que consiste no malware Ducktail, foi descoberta pela primeira vez no final de julho de 2022.

A campanha distribui uma versão PHP do malware de roubo de informações chamado Ducktail para exfiltrar informações confidenciais salvas como credenciais do navegador, informações da conta do Facebook, contas de publicidade e muito mais.

A campanha foi atribuída a um agente de ameaças vietnamita que visa vários indivíduos com acesso de administrador ou financeiro à contas do Facebook Business.

Os agentes de ameaças mantêm os dados em um site recém-hospedado no formato JSON, que é usado e chamado posteriormente para realizar atividades de roubo na máquina da vítima.

Depois de concluir o roubo, o mesmo site é usado para armazenar os dados roubados.