Die Bedrohungsakteure hinter der PikaBot-Malware haben signifikante Änderungen an der Malware vorgenommen, was als Fall von „Degeneration“ bezeichnet wurde. Die Entwickler haben die Komplexität des Codes reduziert, indem sie fortgeschrittene Verschleierungstechniken entfernt und die Netzwerkkommunikation geändert haben. PikaBot ist ein Malware-Loader und ein Backdoor, der Befehle ausführen und Nutzlasten von einem Command-and-Control (C2)-Server injizieren kann und es dem Angreifer ermöglicht, den infizierten Host zu kontrollieren. Die Ausführung wird jedoch gestoppt, wenn das Systemsprache Russisch oder Ukrainisch ist, was darauf hindeutet, dass die Betreiber entweder in Russland oder der Ukraine ansässig sind. In den letzten Monaten sind sowohl PikaBot als auch ein anderer Loader namens DarkGate als attraktive Ersatzoptionen für Bedrohungsakteure wie Water Curupira (alias TA577) aufgetreten, um über Phishing-Kampagnen Zugang zu Zielsystemen zu erhalten und Cobalt Strike einzuschleusen. Bei der Analyse einer neuen Version von PikaBot (Version 1.18.32) hat Zscaler festgestellt, dass der Fokus weiterhin auf Verschleierung liegt, jedoch mit einfacheren Verschlüsselungsalgorithmen, und dass Junk-Code zwischen gültigen Anweisungen eingefügt wird, um die Analyse zu erschweren. Eine weitere wichtige Änderung in der neuesten Version besteht darin, dass die gesamte Bot-Konfiguration ähnlich wie bei QakBot unverschlüsselt in einem einzigen Speicherblock gespeichert wird, anstatt jedes Element zu verschlüsseln und zur Laufzeit zu entschlüsseln. Eine dritte Änderung betrifft die Netzwerkkommunikation mit dem C2-Server, wobei die Malware-Entwickler die Befehls-IDs und den Verschlüsselungsalgorithmus geändert haben, um den Datenverkehr zu sichern. Die Forscher schlussfolgern, dass PikaBot trotz seiner kürzlichen Inaktivität weiterhin eine bedeutende Cyberbedrohung darstellt und sich ständig weiterentwickelt. Die Entwickler haben sich jedoch entschieden, einen anderen Ansatz zu verfolgen und die Komplexität des Codes von PikaBot durch das Entfernen fortgeschrittener Verschleierungsfunktionen zu verringern. Diese Entwicklung erfolgt, während Proofpoint auf eine laufende Kampagne zur Übernahme von Cloud-Konten (ATO) aufmerksam gemacht hat, bei der Dutzende von Microsoft Azure-Umgebungen angegriffen und Hunderte von Benutzerkonten, einschließlich der von Führungskräften, kompromittiert wurden.