思科旗下威胁情报团队Talos揭露从今年2月出现的攻击行动，对方意图散布窃资软体Cryptbot、LummaC2、Rhadamanthys，至少有美国、奈及利亚、巴基斯坦等13个国家出现受害者。

而对于受害者的身分，研究人员提及，有日本电脑服务的客服中心、叙利亚的市民防卫服务组织受害。

攻击者起初向受害者传送恶意的Windows捷径档（LNK），此档案内含PowerShell命令，从特定的内容传递网路（CDN）下载HTML应用程式（HTA）并执行，此HTA档案经过重度混淆处理。

由于对方使用CDN快取伺服器存放恶意程式，有机会骗过网路防御系统。

一旦上述HTA档案执行，就会先后执行其中的JavaScript、PowerShell指令码进解密，从而在系统暂存资料夹写入批次档，这么做的目的是为了回避Microsoft Defender的侦测。

接著，攻击者利用FoDHelper.exe进行寄生攻击（LOLBin），从而窜改机码绕过使用者存取控制（UAC）。最终对方利用PowerShell指令码下载窃资软体。

而对于攻击者的身分，研究人员认为是CoralRaider。