Un’esca costruita attorno a un tema geopolitico mascherava una catena di loader che faceva leva sull’esecuzione da parte dell’utente, su percorsi scrivibili e su componenti Windows attendibili per mantenere il payload finale fuori dal disco.
Un binario Microsoft legittimo, una DLL sideloaded e un RAT residente in memoria mostrano come gli attaccanti possano trasformare il normale comportamento di caricamento in un percorso di distribuzione furtivo.
Una campagna durata sette settimane e attribuita a Dropping Elephant ha mescolato servizi web affidabili con infrastrutture in rapido cambiamento, mostrando come gli attaccanti possano trasformare normali funzioni di pubblicazione e di chat-link in percorsi di consegna del malware.