“Sự xuất hiện của nhiều biến thể phần mềm độc hại cho thấy một chiến dịch nhắm mục tiêu đa nền tảng, với cơ sở hạ tầng điều khiển tấn công (C2) trùng lặp chỉ ra hoạt động kiểm soát tập trung”, Insikt Group của Công ty Recorded Future (Hoa Kỳ) cho biết. Công ty Recorded Future đang theo dõi hoạt động này với tên GitCaught. Chiến dịch này không chỉ nêu bật việc lạm dụng các dịch vụ Internet xác thực để dàn dựng các cuộc tấn công mạng, mà còn dựa vào nhiều biến thể phần mềm độc hại nhắm mục tiêu vào hệ điều hành Android, macOS và Windows để tăng tỷ lệ thành công. Chuỗi tấn công sử dụng hồ sơ và kho lưu trữ giả mạo trên GitHub để lưu trữ các phiên bản giả mạo của phần mềm nổi tiếng (được thiết kế để lấy cắp dữ liệu nhạy cảm từ các thiết bị bị xâm nhập), liên kết đến các tệp độc hại này, sau đó được chèn vào một số trang web (domain) thường được phát tán thông qua các chiến dịch quảng cáo độc hại và đầu độc SEO. Kẻ đứng sau hoạt động này cũng bị phát hiện là đang sử dụng máy chủ FileZilla để quản lý và phân phối phần mềm độc hại. Phân tích sâu hơn về các tệp độc hại trên GitHub và cơ sở hạ tầng liên quan cho thấy, các cuộc tấn công có liên quan đến một chiến dịch lớn hơn được thiết kế để phát tán phần mềm độc hại RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot và DarkComet RAT ít nhất kể từ tháng 8/2023. Phương thức lây nhiễm Rhadamanthys cũng đáng chú ý vì nạn nhân truy cập các trang web quảng c&aacut