Gon Malware
Te oordelen naar zijn functionaliteit, was de Gon Malware vastbesloten een hulpmiddel na de exploitatie te zijn dat de bedreigingsactoren die het hebben geïmplementeerd substantiële controle geeft over het reeds gecompromitteerde systeem. De Gon Malware werd waargenomen als onderdeel van aanvallen op Koeweitse organisaties die werkzaam zijn in de scheepvaart- en transportsector. De tool maakt deel uit van een hele reeks malwarebedreigingen die zijn ontwikkeld door deze specifieke hackergroep. De meeste op maat gemaakte malware kreeg namen van personages uit de populaire manga- en anime-serie 'Hunter x Hunter' zoals Sakabota, Hisoka, Gon, Killua en Netero.
De Gon Malware wordt meestal ingezet nadat de beoogde computer al is geïnfecteerd met de Hisoka- tool. Via de Gon Malware kunnen de hackers bestanden van het getroffen apparaat laten vallen of uploaden, scannen naar open poorten op externe systemen, willekeurige schermafbeeldingen maken, andere systemen ontdekken die op hetzelfde netwerk zijn aangesloten en opdrachten uitvoeren via WMI of PSEXEC. Ze kunnen ook RDP-verbindingen (Remote Desktop Protocol) tot stand brengen via het plink-hulpprogramma.
De Gon Malware kan worden bestuurd via een opdrachtregelprogramma of een desktoptoepassing via een grafische gebruikersinterface (GUI). Door het '-help'-commando in het opdrachtregelhulpprogramma in te voeren, kunnen de hackers alle bedreigende acties weergeven die door de Gon Malware kunnen worden uitgevoerd, waaronder' self Distruct '. Om GUI biedt dezelfde functionaliteit, maar om het te starten, moet een wachtwoord worden opgegeven. Na het invoeren van '92' als wachtwoord, wordt een pop-upvenster gegenereerd met een afbeelding van Gon en Killua uit de 'Hunter x Hunter'-anime als achtergrond. Een aspect dat de GUI onderscheidt van de opdrachtregel, is de opname van een optie genaamd 'Persona Use'. Indien ingeschakeld, schakelt deze optie een maskeerfunctie uit die de GUI verbergt als de cursor van de gebruiker langer dan 80 seconden buiten het malwarevenster wordt geplaatst. De GUI stelt de hackers ook in staat om computer-, groeps- en gebruikersnamen uit actieve mappen te schrapen via de 'dsquery'-tool.
