Saldırganlar, kurbanlarının bilgisayarlarına erişim sağlamak ve verilerini şifrelemek için, kimlik avı e-postaları gönderirken, çeşitli kötü amaçlı araçlar da kullanıyor. Enfekte olmuş cihazlara uzaktan erişim sağlamak ve bunları kontrol etmek için bir arka kapıdan faydalanan grup, Windows korumasını devre dışı bırakmak ve imzalanmamış kötü amaçlı sürücülerini çalıştırmak için meşru sürücüdeki güvenlik açığını hedef alıyor. Bu sürücü, fidye yazılımını çalıştırmalarına olanak tanırken saldırganlar, kötü amaçlı komut dosyalarını meşru bir 'Node.js platformu' ile çalıştırıyor. Grup ayrıca fidye mesajlarında araştırmacılar tarafından kendilerine daha önce atanan ve biraz değiştirilmiş isim olan 'OldGremlins'i kullanarak saldırılarını 'markalaştırmaya' başladı.
Yeni kampanyada grubun kötü amaçlı yazılımı yalnızca dosyaları şifrelemekle kalmıyor, aynı zamanda saldırganlara mevcut durumu bildiriyor. Grubun dördüncü aracı olan 'closethedoor', şifreleme işlemi sırasında cihazı ağdan izole ediyor, fidye notlarını bırakıyor ve izleri temizliyor. Böylece olayın daha fazla araştırılmasını zorlaştırıyor.- 'Aktif olmayan gruplar bile işletmeler için tehdit oluşturabilir'Açıklamada görüşlerine yer verilen Kaspersky Tehdit Araştırması Uzmanı Yanis Zinchenko, grubun yeni siber saldırı dalgasının, aktif olmayan grupların dahi işletmeler için tehdit oluşturabileceğini doğruladığını belirtti. Zinchenko, saldırganların geliştirilmiş araçlarla geri döndüklerinin altını çizerek, 'Şirketlerin gelecekteki saldırıları önlemek için saldırganların kullandığı teknik ve taktikleri sürekli olarak izlemesi önemli. Grup faaliyetlerine 2025'te yeniden başladı ve siber güvenlik uzmanları tarafından verilen adı da benimsediler.' ifadelerini kullandı.
