Investigadores de Unit42 han detectado un nuevo malware dirigido a servidores de Internet Information Services (IIS). El malware, desarrollado en C++/CLI y que actualmente cuenta con dos versiones, funciona como una puerta trasera pasiva, integrándose en el servidor IIS mediante el registro de eventos de respuesta HTTP. Este filtra las peticiones HTTP entrantes en busca de cabeceras específicas que se utilizan para ejecutar comandos. Los comandos y los datos se cifran mediante AES y se codifican posteriormente en Base64.
La versión más reciente, compilada en mayo de 2023, emplea una herramienta de envoltura cmd.exe personalizada para ejecutar comandos e incrustada dentro del malware, el cual también sería capaz de parchear rutinas AMSI y ETW para eludir la detección. Su sofisticación y naturaleza selectiva sugieren que puede haber sido empleado en ataques específicos, si bien la atribución a un actor de amenazas conocido no se ha producido por el momento.