HoldingHands RAT

ਵਿਨੋਸ 4.0 ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ (ਜਿਸਨੂੰ ਵੈਲੀਆਰਏਟੀ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੇ ਪਿੱਛੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨਾਂ ਨੇ ਜਾਪਾਨ ਅਤੇ ਮਲੇਸ਼ੀਆ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਚੀਨ ਅਤੇ ਤਾਈਵਾਨ ਤੋਂ ਪਰੇ ਆਪਣੇ ਕਾਰਜਾਂ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ। ਇਹਨਾਂ ਹਾਲੀਆ ਮੁਹਿੰਮਾਂ ਵਿੱਚ, ਸਮੂਹ ਨੇ ਦੂਜਾ ਰਿਮੋਟ-ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਪ੍ਰਦਾਨ ਕੀਤਾ ਜਿਸਨੂੰ ਹੋਲਡਿੰਗਹੈਂਡਸ (ਉਰਫ਼ Gh0stBins) ਵਜੋਂ ਪਛਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਮਾਜਿਕ ਤੌਰ 'ਤੇ ਇੰਜੀਨੀਅਰਡ ਫਿਸ਼ਿੰਗ ਦਸਤਾਵੇਜ਼ਾਂ ਨੂੰ ਪ੍ਰਾਇਮਰੀ ਵੈਕਟਰ ਵਜੋਂ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ।

ਮੁਹਿੰਮ ਕਿਵੇਂ ਫੈਲਦੀ ਹੈ

ਹਮਲਾਵਰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਵੰਡਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਏਮਬੈਡਡ ਖਤਰਨਾਕ ਲਿੰਕਾਂ ਵਾਲੇ PDF ਅਟੈਚਮੈਂਟ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ। PDFs ਅਧਿਕਾਰਤ ਸੰਚਾਰਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ - ਕੁਝ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਵਿੱਤ ਮੰਤਰਾਲੇ ਦੇ ਦਸਤਾਵੇਜ਼ਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੇ ਹਨ - ਅਤੇ ਕਈ ਲਿੰਕ ਹੁੰਦੇ ਹਨ, ਜਿਨ੍ਹਾਂ ਵਿੱਚੋਂ ਸਿਰਫ ਇੱਕ ਹੀ ਖਤਰਨਾਕ ਡਾਊਨਲੋਡ ਵੱਲ ਲੈ ਜਾਂਦਾ ਹੈ। ਹੋਰ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਲਾਲਚ ਇੱਕ ਵੈੱਬ ਪੇਜ ਹੁੰਦਾ ਹੈ (ਉਦਾਹਰਣ ਵਜੋਂ, 'twsww[.]xin/download[.]html' ਵਰਗੇ URL 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਇੱਕ ਜਾਪਾਨੀ-ਭਾਸ਼ਾ ਪੰਨਾ) ਜੋ ਪੀੜਤਾਂ ਨੂੰ RAT ਵਾਲਾ ਇੱਕ ZIP ਆਰਕਾਈਵ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦਾ ਹੈ।

ਵੰਡ ਦੇ ਤਰੀਕੇ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾ

ਵਿਨੋਸ 4.0 ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਫਿਸ਼ਿੰਗ ਅਤੇ ਐਸਈਓ-ਪੋਇਜ਼ਨਿੰਗ ਮੁਹਿੰਮਾਂ ਰਾਹੀਂ ਪ੍ਰਚਾਰਿਆ ਜਾਂਦਾ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਜਾਅਲੀ ਡਾਊਨਲੋਡ ਪੰਨਿਆਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ ਜੋ ਜਾਇਜ਼ ਸੌਫਟਵੇਅਰ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੇ ਹਨ (ਦੇਖੇ ਗਏ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਗੂਗਲ ਕਰੋਮ, ਟੈਲੀਗ੍ਰਾਮ, ਯੂਡਾਓ, ਸੋਗੋ ਏਆਈ, ਡਬਲਯੂਪੀਐਸ ਆਫਿਸ, ਅਤੇ ਡੀਪਸੀਕ ਲਈ ਨਕਲੀ ਇੰਸਟਾਲਰ ਸ਼ਾਮਲ ਹਨ)। ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾ ਵਿਨੋਸ ਦੀ ਵਰਤੋਂ ਨੂੰ ਇੱਕ ਹਮਲਾਵਰ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਨਾਲ ਜੋੜਦੇ ਹਨ ਜਿਸਨੂੰ ਸਿਲਵਰ ਫੌਕਸ, ਸਵਿਮਸਨੇਕ, ਵੈਲੀ ਥੀਫ (ਵੈਲੀ ਦਾ ਮਹਾਨ ਚੋਰ), ਯੂਟੀਜੀ-ਕਿਊ-1000, ਅਤੇ ਵੋਇਡ ਅਰਾਚਨੇ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਸਤੰਬਰ 2025 ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਰਿਪੋਰਟ ਕੀਤੀ ਕਿ ਇਹ ਅਦਾਕਾਰ ਇੱਕ ਪਹਿਲਾਂ ਗੈਰ-ਦਸਤਾਵੇਜ਼ੀ ਕਮਜ਼ੋਰ ਡਰਾਈਵਰ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ ਜਿਸਨੂੰ ਵਾਚਡੌਗ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਨਾਮਕ ਇੱਕ ਵਿਕਰੇਤਾ ਉਤਪਾਦ ਨਾਲ ਬੰਡਲ ਕੀਤਾ ਗਿਆ ਸੀ ਜਿਸ ਨੂੰ BYOVD (ਬ੍ਰਿੰਗ ਯੂਅਰ ਓਨ ਵਲਨਰਏਬਲ ਡਰਾਈਵਰ) ਤਕਨੀਕ ਵਿੱਚ ਐਂਡਪੁਆਇੰਟ ਸੁਰੱਖਿਆ ਨੂੰ ਅਯੋਗ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਸੀ। ਇਸ ਤੋਂ ਪਹਿਲਾਂ (ਅਗਸਤ 2025), ਸਮੂਹ ਨੇ HiddenGh0st ਅਤੇ ਵਿਨੋਸ ਮੋਡੀਊਲ ਫੈਲਾਉਣ ਲਈ SEO ਜ਼ਹਿਰ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਅਤੇ ਜੂਨ ਰਿਪੋਰਟਿੰਗ ਵਿੱਚ ਸਿਲਵਰ ਫੌਕਸ ਨੇ ਮਲਟੀ-ਸਟੈਪ ਇਨਫੈਕਸ਼ਨਾਂ ਨੂੰ ਸਟੇਜ ਕਰਨ ਲਈ ਬੂਬੀ-ਟ੍ਰੈਪਡ PDF ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਦਸਤਾਵੇਜ਼ੀ ਕੀਤੀ ਜਿਸਨੇ ਅੰਤ ਵਿੱਚ ਹੋਲਡਿੰਗਹੈਂਡਸ RAT ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ। ਇਤਿਹਾਸਕ ਲਾਲਚਾਂ ਵਿੱਚ ਮਾਰਚ 2024 ਤੋਂ ਚੀਨ ਵਿਰੁੱਧ ਵਰਤੀਆਂ ਗਈਆਂ ਟੈਕਸ-ਥੀਮ ਵਾਲੀਆਂ ਐਕਸਲ ਫਾਈਲਾਂ ਸ਼ਾਮਲ ਹਨ; ਹਾਲ ਹੀ ਦੇ ਯਤਨ ਮਲੇਸ਼ੀਆ-ਨਿਸ਼ਾਨਾ ਫਿਸ਼ਿੰਗ ਲੈਂਡਿੰਗ ਪੰਨਿਆਂ ਵੱਲ ਤਬਦੀਲ ਹੋ ਗਏ ਹਨ।

ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਅਤੇ ਨਿਰੰਤਰਤਾ

ਇਹ ਇਨਫੈਕਸ਼ਨ ਆਮ ਤੌਰ 'ਤੇ ਐਕਸਾਈਜ਼ ਆਡਿਟ ਜਾਂ ਹੋਰ ਅਧਿਕਾਰਤ ਦਸਤਾਵੇਜ਼ ਦੇ ਰੂਪ ਵਿੱਚ ਇੱਕ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਮਾਸਕਰੇਡਿੰਗ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਉਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਇੱਕ ਖਤਰਨਾਕ DLL ਨੂੰ ਸਾਈਡਲੋਡ ਕਰਦਾ ਹੈ, ਜੋ 'sw.dat' ਨਾਮਕ ਪੇਲੋਡ ਲਈ ਸ਼ੈੱਲਕੋਡ ਲੋਡਰ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਲੋਡਰ ਕਈ ਐਂਟੀ-ਵਿਸ਼ਲੇਸ਼ਣ ਅਤੇ ਰੱਖਿਆਤਮਕ ਕਾਰਵਾਈਆਂ ਕਰਦਾ ਹੈ - ਐਂਟੀ-VM ਜਾਂਚਾਂ, ਜਾਣੇ-ਪਛਾਣੇ ਸੁਰੱਖਿਆ ਉਤਪਾਦਾਂ ਲਈ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਸਕੈਨ ਕਰਨਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਖਤਮ ਕਰਨਾ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣਾ, ਅਤੇ ਵਿੰਡੋਜ਼ ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਨੂੰ ਅਯੋਗ ਕਰਨਾ - ਬਾਅਦ ਦੇ ਪੜਾਵਾਂ ਨੂੰ ਨਿਯੰਤਰਣ ਸੌਂਪਣ ਤੋਂ ਪਹਿਲਾਂ।

ਸਿਸਟਮ ਤੇ ਸੁੱਟੀਆਂ ਗਈਆਂ ਫਾਈਲਾਂ ਦੇਖੀਆਂ ਗਈਆਂ:

• svchost.ini — VirtualAlloc ਲਈ RVA ਰੱਖਦਾ ਹੈ।
• TimeBrokerClient.dll (ਜਾਇਜ਼ TimeBrokerClient.dll ਦਾ ਨਾਮ ਬਦਲ ਕੇ BrokerClientCallback.dll ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ)।

• msvchost.dat — ਐਨਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ।

• system.dat — ਇਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡ।

• wkscli.dll — ਅਣਵਰਤਿਆ/ਪਲੇਸਹੋਲਡਰ DLL।

ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਟਰਿੱਗਰ ਅਤੇ ਸਟੀਲਥੀ ਐਕਟੀਵੇਸ਼ਨ

ਇੱਕ ਸਪੱਸ਼ਟ ਪ੍ਰਕਿਰਿਆ ਲਾਂਚ 'ਤੇ ਨਿਰਭਰ ਕਰਨ ਦੀ ਬਜਾਏ, ਮੁਹਿੰਮ Windows ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਵਿਵਹਾਰ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ: ਟਾਸਕ ਸ਼ਡਿਊਲਰ svchost.exe ਦੇ ਅਧੀਨ ਇੱਕ ਸੇਵਾ ਦੇ ਤੌਰ 'ਤੇ ਚੱਲਦਾ ਹੈ ਅਤੇ ਡਿਫੌਲਟ ਤੌਰ 'ਤੇ ਅਸਫਲਤਾ ਤੋਂ ਥੋੜ੍ਹੀ ਦੇਰ ਬਾਅਦ ਮੁੜ ਚਾਲੂ ਹੋਣ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਫਾਈਲਾਂ ਨੂੰ ਬਦਲਦਾ ਹੈ ਤਾਂ ਜੋ ਜਦੋਂ ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਸੇਵਾ ਮੁੜ ਚਾਲੂ ਹੁੰਦੀ ਹੈ, ਤਾਂ svchost.exe ਖਤਰਨਾਕ TimeBrokerClient.dll (BrokerClientCallback.dll ਦਾ ਨਾਮ ਬਦਲਿਆ ਗਿਆ) ਨੂੰ ਲੋਡ ਕਰਦਾ ਹੈ। ਉਹ DLL svchost.ini ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ VirtualAlloc ਪਤੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਏਨਕ੍ਰਿਪਟ ਕੀਤੇ ਸ਼ੈੱਲਕੋਡ ਲਈ ਮੈਮੋਰੀ ਨਿਰਧਾਰਤ ਕਰਦਾ ਹੈ, ਫਿਰ msvchost.dat ਨੂੰ system.dat ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਅਤੇ ਹੋਲਡਿੰਗਹੈਂਡਸ ਪੇਲੋਡ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ। ਇਹ 'ਸਰਵਿਸ ਰੀਸਟਾਰਟ → DLL ਲੋਡ' ਟਰਿੱਗਰ ਸਿੱਧੇ ਪ੍ਰਕਿਰਿਆ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਘਟਾਉਂਦਾ ਹੈ ਅਤੇ ਵਿਵਹਾਰ-ਅਧਾਰਿਤ ਖੋਜ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।

ਟਰੱਸਟਡ ਇੰਸਟਾਲਰ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣਾ

ਸੁਰੱਖਿਅਤ ਸਿਸਟਮ ਕੰਪੋਨੈਂਟਸ ਦਾ ਨਾਮ ਬਦਲਣ ਅਤੇ ਬਦਲਣ ਲਈ ਜ਼ਰੂਰੀ ਅਨੁਮਤੀਆਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ (ਉਦਾਹਰਣ ਵਜੋਂ, ਅਸਲੀ TimeBrokerClient.dll ਦਾ ਨਾਮ ਬਦਲਣਾ), ਲੋਡਰ ਉੱਚ-ਅਧਿਕਾਰ ਸਿਸਟਮ ਖਾਤਿਆਂ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਦੇਖਿਆ ਗਿਆ ਕ੍ਰਮ ਇਹ ਹੈ:

• Winlogon ਪ੍ਰਕਿਰਿਆ ਅਤੇ ਇਸਦੇ ਟੋਕਨ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਲਈ SeDebugPrivilege ਨੂੰ ਸਮਰੱਥ ਬਣਾਓ।
• ਸਿਸਟਮ ਦੇ ਤੌਰ 'ਤੇ ਚਲਾਉਣ ਲਈ ਵਿਨਲੌਗਨ ਟੋਕਨ ਅਪਣਾਓ।
• SYSTEM ਤੋਂ, ਇੱਕ TrustedInstaller ਸੁਰੱਖਿਆ ਸੰਦਰਭ ਪ੍ਰਾਪਤ ਕਰੋ — Windows Resource Protection ਦੁਆਰਾ ਮਹੱਤਵਪੂਰਨ OS ਫਾਈਲਾਂ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਖਾਤਾ।
• ਉਸ TrustedInstaller ਸੰਦਰਭ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਮਾਲਵੇਅਰ C:\Windows\System32 (ਇੱਕ ਕਾਰਵਾਈ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਪ੍ਰਸ਼ਾਸਕਾਂ ਲਈ ਵੀ ਸੀਮਤ ਹੁੰਦੀ ਹੈ) ਵਿੱਚ ਸੁਰੱਖਿਅਤ ਫਾਈਲਾਂ ਨੂੰ ਸੋਧ ਸਕਦਾ ਹੈ।

ਪੇਲੋਡ ਕਿਵੇਂ ਕੰਟਰੋਲ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਬਣਾਈ ਰੱਖਦਾ ਹੈ

ਖਤਰਨਾਕ TimeBrokerClient ਕੰਪੋਨੈਂਟ svchost.ini ਵਿੱਚ RVA ਅਨੁਸਾਰ ਮੈਮੋਰੀ ਅਲਾਟ ਕਰਦਾ ਹੈ, msvchost.dat ਤੋਂ ਡਿਕ੍ਰਿਪਟਡ ਸ਼ੈੱਲਕੋਡ ਨੂੰ ਉੱਥੇ ਰੱਖਦਾ ਹੈ, ਅਤੇ ਇਸਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਡਿਕ੍ਰਿਪਟਡ ਪੇਲੋਡ ਹੋਲਡਿੰਗਹੈਂਡਸ ਨੂੰ ਅਨਪੈਕ ਕਰਦਾ ਹੈ, ਜੋ ਫਿਰ ਇੱਕ ਰਿਮੋਟ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਨਿਰੀਖਣ ਕੀਤੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਹੋਸਟ ਜਾਣਕਾਰੀ C2 ਨੂੰ ਭੇਜਣਾ।
• ਚੈਨਲ ਨੂੰ ਜ਼ਿੰਦਾ ਰੱਖਣ ਲਈ ਹਰ 60 ਸਕਿੰਟਾਂ ਵਿੱਚ ਦਿਲ ਦੀ ਧੜਕਣ ਦੇ ਸੁਨੇਹੇ ਭੇਜੇ ਜਾ ਰਹੇ ਹਨ।
• ਰਿਮੋਟ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਚਲਾਉਣਾ (ਡੇਟਾ ਚੋਰੀ, ਮਨਮਾਨੇ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ, ਵਾਧੂ ਪੇਲੋਡ ਪ੍ਰਾਪਤ ਕਰਨਾ)।

• ਇੱਕ ਵਾਧੂ ਵਿਸ਼ੇਸ਼ਤਾ ਜੋ ਆਪਰੇਟਰ ਨੂੰ Windows ਰਜਿਸਟਰੀ ਐਂਟਰੀ ਰਾਹੀਂ C2 ਐਡਰੈੱਸ ਨੂੰ ਅਪਡੇਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।

ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਭਾਸ਼ਾ ਫੋਕਸ, ਅਤੇ ਸੰਭਾਵਿਤ ਉਦੇਸ਼

ਹਾਲੀਆ ਨਮੂਨੇ ਅਤੇ ਲਾਲਚ ਚੀਨੀ-ਭਾਸ਼ਾ ਦੇ ਪੀੜਤਾਂ 'ਤੇ ਧਿਆਨ ਕੇਂਦਰਿਤ ਕਰਨ ਦਾ ਸੰਕੇਤ ਦਿੰਦੇ ਹਨ, ਹਾਲਾਂਕਿ ਭੂਗੋਲਿਕ ਦਾਇਰੇ ਵਿੱਚ ਹੁਣ ਜਾਪਾਨ ਅਤੇ ਮਲੇਸ਼ੀਆ ਸ਼ਾਮਲ ਹਨ। ਸੰਚਾਲਨ ਪੈਟਰਨ - ਜਾਸੂਸੀ, ਖੇਤਰੀ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ, ਚੋਰੀ-ਛਿਪੇ ਦ੍ਰਿੜਤਾ, ਅਤੇ ਮਾਡਿਊਲਰ ਬੈਕਡੋਰ ਕਾਰਜਸ਼ੀਲਤਾ - ਖੇਤਰ ਵਿੱਚ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ, ਜਿਸ ਵਿੱਚ ਇਮਪਲਾਂਟ ਅਕਸਰ ਅਗਲੇ ਨਿਰਦੇਸ਼ਾਂ ਤੱਕ ਸੁਸਤ ਰਹਿ ਜਾਂਦੇ ਹਨ।

ਸੰਖੇਪ

ਸਿਲਵਰ ਫੌਕਸ ਨਾਲ ਜੁੜੇ ਆਪਰੇਟਰਾਂ ਨੇ ਵਿਨੋਸ 4.0 ਗਤੀਵਿਧੀ ਦਾ ਵਿਸਤਾਰ ਕੀਤਾ ਹੈ ਅਤੇ ਪਾਲਿਸ਼ਡ ਸੋਸ਼ਲ-ਇੰਜੀਨੀਅਰਿੰਗ (PDF ਅਤੇ SEO-ਜ਼ਹਿਰੀਲੇ ਪੰਨੇ) ਅਤੇ ਇੱਕ ਸੂਝਵਾਨ ਮਲਟੀ-ਸਟੇਜ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, ਆਪਣੇ ਟੂਲਸੈੱਟ ਵਿੱਚ ਹੋਲਡਿੰਗਹੈਂਡਸ RAT ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ ਜੋ ਟਾਸਕ ਸ਼ਡਿਊਲਰ ਵਿਵਹਾਰ ਅਤੇ ਟਰੱਸਟਡਇੰਸਟਾਲਰ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਖੋਜ ਨੂੰ ਬਣਾਈ ਰੱਖਿਆ ਜਾ ਸਕੇ ਅਤੇ ਬਚਿਆ ਜਾ ਸਕੇ। ਓਪਰੇਸ਼ਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਨਿਸ਼ਾਨਾ ਇੱਕ ਕੇਂਦ੍ਰਿਤ ਖੇਤਰੀ ਖੁਫੀਆ ਸੰਗ੍ਰਹਿ ਯਤਨ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ ਜਿਸ ਵਿੱਚ ਲੰਬੇ ਸਮੇਂ ਤੱਕ ਚੱਲਣ ਵਾਲੇ, ਮਾਡਿਊਲਰ ਇਮਪਲਾਂਟ ਓਪਰੇਟਰ ਕਮਾਂਡਾਂ ਦੀ ਉਡੀਕ ਕਰ ਰਹੇ ਹਨ।