Компанія Blackpoint під час реагування на інцидент виявила новий малварьний імплант RoadK1ll. Це легкий Node.js-імплант, який використовує власний протокол WebSocket для зв’язку з інфраструктурою зловмисників. Імплант перетворює зламаний комп’ютер на релейний пункт: він встановлює зворотне з’єднання WebSocket назовні і дозволяє атакувальникам відкривати TCP-з’єднання до внутрішніх систем, сервісів та сегментів мережі. Таким чином зловмисники успадковують довіру скомпрометованого хоста і обходять периметральний захист. Імплант підтримує кілька одночасних з’єднань через один тунель і команди CONNECT, DATA, CONNECTED та ERROR.

Якщо з’єднання WebSocket переривається, RoadK1ll автоматично намагається відновити тунель для підтримки постійного доступу. Імплант не використовує традиційні методи персистентності і працює лише поки його процес активний. Blackpoint опублікувала хеш імпланту та IP-адресу, яку використовували зловмисники. Наслідки застосування RoadK1ll — тихий латеральний рух у мережі, доступ до внутрішніх ресурсів, які недоступні ззовні, і можливість тривалого прихованого перебування в скомпрометованій інфраструктурі. Імплант добре маскується під нормальний мережевий трафік і дозволяє ефективно розширювати контроль зловмисників без додаткових інструментів.