התגלתה מתקפת דוא"ל רב-שכבתית מתוחכמת המשתמשת בחשבוניות PDF כווקטור ראשוני להעברת נוזקה טרויאנית לגישה מרחוק. מתקפת הסייבר מכוונת בעיקר למערכות הפעלה Windows אך יכולה להשפיע גם על Linux ו- macOS עם Java Runtime Environment (JRE). מתקפת סייבר חוצה פלטפורמות זו מעניקה לפושעי הסייבר שליטה מרחוק מלאה על מערכות ההפעלה שנפרצו ומאפשרת ביצוע פקודות, רישום הקשות מקשים, גישה לקבצים והפעלת מצלמת רשת ומיקרופון.
המתקפה מתחילה במיילים של חשבוניות שנראים לגיטימיים ועוברים אימות SPF על ידי שירות הדוא"ל serviciodecorreo.es, שתצורתו מוגדרת כשולח מורשה עבור דומיינים שונים. תקשורת מטעה זו מכילה קבצי PDF מצורפים הטוענים להכיל מידע על חשבונית, אך במקום זאת מורים לנמענים ללחוץ על קישורים המפעילים שרשרת הדבקה מורכבת. טקטיקות ההנדסה החברתית בהן נעשה שימוש יוצרות תחושת דחיפות ולוחצות על הנמענים לפעול בזהירות מופחתת.
תהליך ההדבקה הרב-שלבי מתחיל כאשר מקיימים הקורבנות אינטראקציה עם קובץ ה- PDF הזדוני, המציג הודעה הטוענת לעיבוד לא תקין ומורה למשתמשים ללחוץ על כפתור המוביל לקישור Dropbox המכיל קובץ HTML בשם "Fattura" (חשבונית באיטלקית). קובץ HTML זה מציג לקורבנות בקשת אימות בסיסית "אני לא רובוט" לפני שהוא מפנה אותם לכתובת URL שנוצרה על ידי Ngrok. פושעי הסייבר מיישמים טכניקת גיאופנסינג יעילה במיוחד המגישה תוכן שונה בהתבסס על מיקום הקורבן – משתמשים שניגשים מאיטליה מקבלים את קובץ ה-JAR הזדוני, בעוד שאלו ממדינות אחרות רואים מסמך Google Drive שנראה לגיטימי, המכיל חשבונית לגיטימית לכאורה מ- Medinova Health Group. גיאופנסינג משלבת מודעות למיקום הנוכחי של המשתמש עם מודעות לקרבה של המשתמש למיקומים שעשויים לעניין אותו. גישת גיאופנסינג זו מכוונת במיוחד למערכות אבטחת דוא"ל, שבדרך כלל מבצעות ניתוח מסביבות גנריות או מבוססות ענן שאינן קשורות למיקומים גיאוגרפיים ספציפיים. כאשר מערכות אבטחה אלו ניגשות לכתובות ה- URL המוטמעות, הן מנותבות לדפי פיתוי לא מזיקים במקום לתוכן זדוני, מה שמאפשר למתקפת הסייבר להישאר בלתי מזוהה. המטען הסופי, המוסווה בשמות קבצים ניטרליים למראה כמו "FA-43-03-2025.jar", מנצל את אופייה חוצת הפלטפורמות של Java כדי לספק את הנוזקה המייצרת גישה מרחוק מתמשכת עבור פושעי הסייבר.
חוקרי Fortinet זיהו כי מתקפת הסייבר הזו משתמשת באסטרטגיות התחמקות מתקדמות, כגון ניצול לרעה של פלטפורמות שיתוף קבצים לגיטימיות כמו Dropbox ו- MediaFire, סינון מיקום גיאוגרפי מתוחכם ומנהור Ngrok כדי להסוות פעילויות זדוניות. ניכר כי פושעי הסייבר ביצעו בבירור מחקר קודם כדי לזהות דומיינים פגיעים ולמקסם את סיכוייהם לעקוף אמצעי אבטחה קריטיים. לאחר הפעלתה, מתקינה הנוזקה RATty – טרויאני מבוסס ג'אווה לגישה מרחוק המסוגל לבצע פקודות מרחוק, לתעד הקשות מקשים, ללכוד צילומי מסך ולגנוב מידע רגיש. חשוב להבין כי מתקפת סייבר זו מספקת לפושעי הסייבר שליטה מקיפה על מערכות הפעלה נגועות ויוצרת סיכון משמעותי לארגונים שנפגעו.
