“Meskipun kami biasanya menyarankan kewaspadaan terhadap email dan tautan yang mencurigakan, kampanye ini menyoroti perlunya kehati-hatian saat berhadapan bahkan dengan aplikasi pengiriman pesan instan seperti Skype dan Telegram.”
Selain menggunakan Telegram untuk pengiriman malware, para penyerang juga meningkatkan keamanan operasional dan pembersihan pasca-kompromi mereka. Setelah instalasi, malware akan menghapus file yang digunakan untuk menyebarkan implan DarkMe. Untuk lebih menghalangi analisis dan mencoba menghindari deteksi, pelaku meningkatkan ukuran file implan dan menghapus jejak lain, seperti file pascaeksploitasi, alat, hingga kunci registri, setelah mencapai tujuan mereka.
Deathstalker, yang sebelumnya dikenal sebagai Decepticons, adalah kelompok pelaku ancaman yang aktif setidaknya sejak 2018, dan mungkin sejak 2012. Kelompok ini diyakini sebagai kelompok tentara bayaran siber atau peretas bayaran, di mana pelaku ancaman tampaknya memiliki anggota yang kompeten yang mengembangkan perangkat internal, dan memahami ekosistem ancaman persisten yang canggih.
