Ativo desde o início de 2023, o Pikabot é um malware modular que tem atraído atenção devido às suas táticas avançadas de penetração em alvos direcionados. O Pikabot é distribuído principalmente através de campanhas de phishing, utilizando métodos semelhantes ao conhecido trojan QakBot.

Estas campanhas são caracterizadas por um grande volume de e-mails direcionados a uma variedade de indústrias.

Os alvos do malware abrangem uma ampla gama de setores. A estratégia de infecção inclui o uso de URLs em threads de e-mail sequestrados, que levam a um arquivo ZIP contendo um dropper JavaScript, responsável por baixar e executar o malware.

A comunicação de rede do Pikabot começa registrando o host comprometido com os servidores de comando e controle. O processo de registro envolve a coleta de informações do sistema e o relato ao servidor de comando e controle com uma solicitação HTTPS POST.

O malware gera um identificador único de bot para o host comprometido e começa a solicitar tarefas do servidor. Essa nova família de malware implementa um extenso conjunto de técnicas anti-análise e oferece capacidades comuns de backdoor para carregar shellcode e executar binários de segunda fase arbitrários.

Embora possa ter laços potenciais com Qakbot, ainda não foi estabelecida uma ligação definitiva entre as duas famílias de malware.