Cisco, die onder meer de beveiligingsappliance SourceFire levert, keek naar de malware toen een beveiliger het opmerkte. Door de string 'SourceFireSux' besloot hij het bij Cisco's beveiligingstak Talos af te leveren. In een uitgebreide blogpost kijkt het bedrijf naar de opvallende PowerShell-malware.

Het traject begint met een malafide macro, dus dé manier om de aanval in de kiem te smoren is door macro's te blokkeren. Met de macro worden via PowerShell DNS TXT-records aangesproken om een Remote Access Trojan te laten communiceren met een command-and-controlserver. Hierdoor is het moeilijk om te detecteren dat er een RAT op het doelsysteem wordt neergezet.

De aanval wordt heel gericht toegepast en is geen breed gebruikte methode, maar het demonstreert hoe een gemotiveerde groep aanvallers innovatieve trucs bedenkt. Ook laat dit zien waar reguliere criminelen over een tijdje heengaan, waarna het relevant wordt voor alle organisaties om bedacht te zijn op dit soort methodes.