Os responsáveis pela malware SolarMarker estabeleceram uma infraestrutura de vários níveis para complicar os esforços de aplicação da lei, de acordo com novas descobertas da Recorded Future. A operação core do SolarMarker é a sua infraestrutura em camadas, composta por pelo menos dois clusters: um primário para operações ativas e um secundário provavelmente utilizado para testar novas estratégias ou para visar regiões ou indústrias específicas. Isso torna o malware mais difícil de erradicar. O SolarMarker, conhecido como Deimos, Jupyter Infostealer, Polazert e Yellow Cockatoo, é uma ameaça sofisticada em constante evolução desde setembro de 2020. Tem a capacidade de roubar dados de vários navegadores da web e carteiras de criptomoedas, bem como visar configurações de VPN e RDP. Diversos setores são o principal alvo, incluindo educação, governo, saúde, hotelaria e pequenas e médias empresas. Entre as vítimas, a maioria está situada nos EUA. Com o passar dos anos, os autores do malware têm concentrado seus esforços de desenvolvimento em torná-lo mais furtivo, através do aumento do tamanho das cargas úteis, do uso de certificados Authenticode válidos, de novas alterações no Registro do Windows e da capacidade de executá-lo diretamente da memória em vez do disco. As vias típicas de infecção envolvem hospedar o SolarMarker em sites de downloads falsos que anunciam software popular, podendo ser visitados involuntariamente pelas vítimas, devido a envenenamento de mecanismos de busca ou via links em e-mails maliciosos. Os vetores iniciais assumem a forma de arquivos executáveis (EXE) e de Instalador de Software da Microsoft (MSI) que, quando lançados, levam à implantação de um backdoor baseado em .NET, responsável por baixar cargas adicionais para facilitar o roubo de informações. Sequências alternativas utilizam instaladores falsificados para baixar um aplicativo legítimo (ou um arquivo de distração), enquanto lançam simultaneamente um carregador PowerShell para entregar e executar o backdoor do SolarMarker na memória. Os ataques do SolarMarker ao longo do último ano também envolveram a entrega de um backdoor hVNC baseado em Delphi chamado SolarPhantom, permitindo controlar remotamente uma máquina sem o conhecimento da vítima. Há indícios que sugerem que o SolarMarker é o trabalho de um único ator de origem desconhecida, embora pesquisas anteriores da Morphisec tenham insinuado uma possível conexão russa. A investigação da Recorded Future nas configurações de servidor relacionadas aos servidores de comando e controle (C2) descobriu uma arquitetura em vários níveis, incluindo uma série de servidores C2 de Nível 1 que estão em contato direto com as máquinas vítimas. Esses servidores se conectam a um servidor C2 de Nível 2 através da porta 443. Os servidores C2 de Nível 2, por sua vez, se comunicam com servidores C2 de Nível 3 pela mesma porta. Os servidores C2 de Nível 3 se conectam continuamente a servidores C2 de Nível 4 pela mesma porta. O servidor de Nível 4 é considerado o servidor central da operação, provavelmente utilizado para administrar de forma eficaz todos os servidores downstream a longo prazo. Também foi observado que o servidor C2 de Nível 4 se comunica com outro “servidor auxiliar” pela porta 8033, cujo propósito exato permanece desconhecido, mas especula-se que seja usado para monitoramento, possivelmente servindo como verificação de saúde ou servidor de backup.