Gon Malware

At dømme efter dens funktionalitet var Gon Malware fast besluttet på at være et værktøj efter udnyttelse, der giver trusselsaktørerne, der implementerede det, betydelig kontrol over det allerede kompromitterede system. Gon Malware blev observeret som en del af angreb mod Kuwait-organisationer, der arbejder inden for skibsfart og transportindustri. Værktøjet er en del af et helt sæt malware-trusler udviklet af denne særlige hacker-gruppe. De fleste skræddersyede malware fik navne hentet fra tegn fra den populære manga- og anime-serie 'Hunter x Hunter' som Sakabota, Hisoka, Gon, Killua og Netero.

Gon Malware implementeres normalt, efter at den målrettede computer allerede er blevet inficeret med Hisoka- værktøjet. Gennem Gon Malware kan hackerne slippe eller uploade filer fra den berørte enhed, scanne efter åbne porte på eksterne systemer, tage vilkårlige skærmbilleder, opdage andre systemer, der er forbundet til det samme netværk og udføre kommandoer via WMI eller PSEXEC. De kan også etablere RDP-forbindelser (Remote Desktop Protocol) via plink-hjælpeprogrammet.

Gon Malware kan styres via enten et kommandolinjeprogram eller en desktopapplikation via en grafisk brugergrænseflade (GUI). Ved at indtaste kommandoen '-help' i kommandolinjeværktøjet kan hackerne liste alle de truende handlinger, der kan udføres af Gon Malware, hvor en af dem er 'selvdistrukt'. Til GUI tilbyder den samme funktionalitet, men for at starte den skal der angives en adgangskode. Efter indtastning af '92' for et kodeord, genereres et pop op-vindue med et billede af Gon og Killua fra 'Hunter x Hunter' anime som baggrund. Et aspekt, der adskiller GUI'en fra kommandolinjen, er inkluderingen af en indstilling kaldet 'Persona Use'. Når dette er aktiveret, deaktiverer denne indstilling en maskeringsfunktion, der skjuler GUI'en, hvis brugerens markør er placeret uden for malware-vinduet i mere end 80 sekunder. GUI giver også hackere mulighed for at skrabe computer-, gruppe- og brugernavne fra aktive mapper gennem værktøjet 'dsquery'.