A Cisco Talos descobriu uma nova estrutura de comando e controle de arquivo único (C2) que os autores chamam de “Alchimist [sic]”. Os pesquisadores encontraram esse C2 em um servidor que tinha uma lista de arquivos ativa no diretório raiz junto com um conjunto de ferramentas de pós-exploração.

“Alchimist” é um executável de 64 bits escrito em GoLang e repleto de recursos, incluindo recursos para a interface Web e cargas úteis Insekt RAT compiladas para Windows e Linux.

Esta campanha também consiste em ferramentas adicionais sob medida, como uma ferramenta de exploração do MacOS, um backdoor personalizado e várias ferramentas prontas para uso, como proxies reversos.

O servidor também continha ferramentas de uso duplo como psexec e netcat, juntamente com uma ferramenta de varredura chamada “fscan”, que o autor define como uma “ferramenta de varredura de intranet”, essencialmente todas as ferramentas necessárias para movimentação lateral.