Експерти зафіксували випадок, коли кіберзлочинець зміг зберегти контроль над скомпрометованою мережею автомобільної компанії навіть після відключення своєї основної інфраструктури. Перед тим, як його командний сервер Havoc перестав працювати, хакер встановив на уражені машини легітимні інструменти OpenSSH та Tailscale. Це дозволило йому створити зашифрований зворотний тунель в обхід стандартних мережевих портів та підключити комп’ютери жертви до своєї приватної віртуальної мережі.

Коли через 18 днів командний сервер зловмисника знову з’явився в мережі, шкідливі агенти автоматично відновили зв’язок без необхідності повторного злому. Головною технічною небезпекою цієї атаки є використання підписаного легітимного програмного забезпечення, яке не розпізнається класичними антивірусами як загроза. За допомогою цієї схеми зловмисник успішно викрадав паролі до електронної пошти та банківських кабінетів.