Teknik Detaylar

URL Moniker aracılığıyla uzak HTA (HTML Application) dosyası çekilip Microsoft Script Host tarafından doğrudan yürütülür.

  1. RTF belge e-posta ekiyle gönderilir
  2. OLE nesnesi uzak URL'yi çeker
  3. HTA dosyası JavaScript/VBScript olarak çalışır
  4. Payload (NjRAT) indirilip kurulur

Orta Doğu, MENA ve Güney Asya kampanyalarında sahte hükümet belgeleri ile kullanıldı.