Дослідники виявили прихований фреймворк DEEP#DOOR, написаний мовою Python, який використовує сервіси тунелювання для викрадення облікових даних браузерів та хмарних платформ. Ланцюжок зараження починається з виконання пакетного скрипту install_obf.bat, який деактивує стандартні засоби захисту Windows. Після цього система розгортає основне корисне навантаження svc.py, що закріплюється в ОС через папку автозавантаження, реєстр «Run», заплановані завдання та підписки WMI.

Технічний аналіз свідчить, що шкідливе ПЗ використовує SSH-тунелі для обходу брандмауерів та встановлення стабільного зв’язку з командним сервером. Бекдор здатний перехоплювати токени автентифікації та паролі безпосередньо з пам’яті процесів. Наразі атаки мають цілеспрямований характер, а основним вектором розповсюдження залишається фішинг. Експерти Securonix зазначають, що архітектура DEEP#DOOR дозволяє зловмисникам гнучко змінювати модулі для збору специфічних даних залежно від середовища жертви.