Cisco Talos ha identificado una campaña activa desde mediados de 2024 con motivaciones financieras y destinada al despliegue del backdoor TorNet. Los ataques se dirigen principalmente a usuarios de Polonia y Alemania a través de correos electrónicos de phishing con archivos adjuntos maliciosos que simulan ser comunicaciones logísticas o financieras, empleando el malware PureCrypter como mecanismo de entrega.
Una vez ejecutado, PureCrypter descifra y carga TorNet directamente en la memoria, eludiendo los sistemas tradicionales de detección e incluyendo payloads adicionales, como Agent Tesla y Snake Keylogger. En adición, los atacantes desconectan la máquina de la víctima de la red durante el despliegue de la carga útil.
TorNet establece conexiones con servidores C2 a través de la red TOR, mientras que PureCrypter modifica la configuración del sistema, crea tareas programadas y tiene en cuenta las limitaciones de energía del dispositivo.