Pesquisadores descobriram um ataque cibernético incomum envolvendo um trojan de acesso remoto para Windows que permaneceu indetectado por semanas. O malware utilizava cabeçalhos DOS e PE corrompidos, que são componentes essenciais de arquivos executáveis do Windows, com o objetivo de dificultar a análise e escapar da detecção. O cabeçalho DOS garante a compatibilidade do executável com sistemas antigos, enquanto o cabeçalho PE contém as.  informações necessárias para que o Windows carregue e execute o programa.

Ao corromper essas estruturas, o malware evita que ferramentas comuns identifiquem corretamente sua organização interna, dificultando o trabalho dos analistas. O trojan foi encontrado em execução dentro do processo dllhost.exe, funcionando como um arquivo PE de 64 bits. Ele foi ativado por meio de scripts em lote e comandos do PowerShell em um ambiente comprometido. Embora não tenha sido possível extrair o malware diretamente, foi obtido um despejo completo da memória do sistema afetado, permitindo sua análise em ambiente controlado.

Uma vez em execução, o malware decripta na memória o endereço do servidor de comando e controle e se comunica com ele por meio do protocolo TLS. Enquanto isso, o processo principal permanece inativo até o fim da comunicação. O programa malicioso possui recursos como captura de tela, controle e modificação de serviços do sistema e ainda atua como servidor, possibilitando múltiplas conexões simultâneas de invasores. Essa estrutura transforma o sistema infectado em uma plataforma de acesso remoto, permitindo ações adicionais de forma discreta.