Eine neue Variante eines Remote Access Trojaners namens Bandook wurde beobachtet, wie er über Phishing-Angriffe verbreitet wird, um Windows-Maschinen zu infiltrieren. Das Fortinet FortiGuard Labs identifizierte die Aktivität im Oktober 2023 und stellte fest, dass der Trojaner über eine PDF-Datei verbreitet wird, die einen Link zu einem passwortgeschützten .7z-Archiv enthält. Sobald das Opfer den Trojaner mit dem im PDF enthaltenen Passwort extrahiert, injiziert der Trojaner seinen Payload in die Datei msinfo32.exe. Bandook wurde erstmals 2007 entdeckt und ist ein Standard-Malware, der eine Vielzahl von Funktionen bietet, um die infizierten Systeme ferngesteuert zu übernehmen.
Im Juli 2021 berichtete das slowakische Cybersicherheitsunternehmen ESET von einer Cyber-Spionage-Kampagne, die eine verbesserte Variante von Bandook nutzte, um Firmennetzwerke in spanischsprachigen Ländern wie Venezuela zu infiltrieren.
Der Ausgangspunkt des neuesten Angriffs ist ein Injektor-Komponente, die dazu dient, den Payload in die Datei msinfo32.exe zu entschlüsseln und zu laden. Diese Datei ist eine legitime Windows-Binärdatei, die Systeminformationen zur Diagnose von Computerproblemen sammelt. Die Malware nimmt neben Änderungen in der Windows-Registry auch Kontakt zu einem Command-and-Control (C2)-Server auf, um weitere Payloads und Anweisungen abzurufen. Zu den Aktionen der Malware gehören Dateimanipulation, Manipulation der Windows-Registry, Downloads, Informationen stehlen, Dateien ausführen, Funktionen von DLLs vom C2 aus aufrufen, die Kontrolle über den infizierten Computer übernehmen, Prozesse beenden und die Malware deinstallieren.