Các nhà nghiên cứu đã phát hiện chiến dịch này bắt đầu vào tháng 10/2022 và vẫn tiếp tục cho đến nay. Nhóm APT Bad Magic sử dụng các tin nhắn lừa đảo trực tuyến chứa đường dẫn URL độc hại để điều hướng người dùng đến một kho lưu trữ các tệp ZIP.
Kho lưu trữ này chứa các tệp tài liệu (PDF, XLSX, DOCX) với định dạng LNK mở rộng (ví dụ: .pdf.lnk). Tệp LNK bắt đầu quá trình lây nhiễm và triển khai backdoor có tên là PowerMagic, được viết bằng PowerShell.
Backdoor này được thiết kế để kết nối với máy chủ điều khiển từ xa và thực thi các lệnh tùy ý trên thiết bị mục tiêu. Sau khi thực thi, kết quả của quá trình lây nhiễm được tải lên các dịch vụ đám mây như Dropbox và Microsoft OveDrive, mã OAuth được làm mới sử dụng để xác thực thông tin đăng nhập.
PowerMagic hoạt động như một bước đệm cung cấp nền tảng cho CommonMagic chứa tập hợp nhiều mô-đun được thực thi. Các môđun này tương tác với máy chủ C&C, mã hóa và giải mã lưu lượng thông tin C&C thu thập được cũng như thực thi các plugin (ảnh chụp màn hình và USB).
Plugin (S[.]exe) thực hiện chụp ảnh màn hình ba giây một lần bằng cách sử dụng GDI API và USB U[.]exe thu thập dữ liệu từ các thiết bị USB được kết nối.
Chiến dịch tấn công này vẫn đang hoạt động và được các nhà nghiên cứu tiếp tục điều tra. Vì vậy, để tránh trường hợp bị tấn công thì các cơ quan, tổ chức cần rà soát hệ thống của mình để có biện pháp ngăn chặn và khắc phục kịp thời.