Кампанія атакує неправильно керовані сервери Microsoft SQL (MS-SQL), використовуючи вразливі облікові дані для початкового доступу. Атаки багатоступеневі: ескалація привілеїв через JuicyPotato для зловживання токенами Windows, завантаження payload через PowerShell.

Головний інструмент – XiebroC2, фреймворк C2 на Go, подібний до CobaltStrike, з можливостями зворотних шеллів, керування файлами, процесами та мережею, крос-платформенний. Розгортається поряд з майнерами.

Мішені – MS-SQL сервери з слабким захистом. XiebroC2 збирає системну інформацію, встановлює зашифрований зв’язок з C2-сервером (IP 1.94.185.235, порт 8433), дозволяючи персистентність та маніпуляції.

Імплікації: ескалація складності атак, ризики для систем через віддалений контроль та витік даних. Рекомендації: посилення захисту MS-SQL, контролю доступу.