Eine nicht namentlich genannte islamische Non-Profit-Organisation in Saudi-Arabien wurde im Rahmen einer heimlichen Cyber-Spionagekampagne ins Visier genommen, die darauf abzielt, einen zuvor nicht dokumentierten Backdoor namens Zardoor einzusetzen. Der Sicherheitsforscher Cisco Talos entdeckte die Aktivität im Mai 2023 und vermutet, dass die Kampagne seit mindestens März 2021 fortgesetzt wird. Bisher wurde nur ein kompromittiertes Ziel identifiziert, allerdings wird vermutet, dass es weitere Opfer gibt. Die Angreifer nutzten „Living-Off-The-Land-Binaries“ (LoLBins), um Backdoors einzusetzen, Command-and-Control-Verbindungen herzustellen und die Zugriffsrechte auf die Opfersysteme langfristig aufrechtzuerhalten, ohne Aufmerksamkeit zu erregen.
Der Angriff auf die islamische Wohltätigkeitsorganisation involvierte die periodische Exfiltration von Daten etwa zweimal im Monat. Der genaue Weg, über den die Entität infiltriert wurde, ist derzeit unbekannt. Der Zugang wurde jedoch genutzt, um Zardoor zur Aufrechterhaltung der Zugriffsrechte einzusetzen und anschließend C2-Verbindungen unter Verwendung von Open-Source-Reverse-Proxy-Tools wie Fast Reverse Proxy (FRP), sSocks und Venom zu etablieren. Sobald eine Verbindung hergestellt war, nutzte der Angreifer Windows Management Instrumentation (WMI), um sich seitlich zu bewegen und die Tools des Angreifers, einschließlich Zardoor, zu verbreiten, indem Prozesse auf dem Zielsystem erstellt und Befehle von der C2 ausgeführt wurden.
Der genaue Infektionsweg ist noch nicht bekannt, aber er ermöglicht die Bereitstellung einer Dropper-Komponente, die wiederum eine schädliche Dynamic-Link Library („oci.dll“) bereitstellt. Diese ist dafür verantwortlich, zwei Backdoor-Module namens „zar32.dll“ und „zor32.dll“ zu implementieren. Die erste ist das Kern-Backdoor-Element, das C2-Kommunikation ermöglicht, während die letztere sicherstellt, dass „zar32.dll“ mit Administratorrechten eingesetzt wird. Zardoor ist in der Lage, Daten zu exfiltrieren, remote abgerufene ausführbare Dateien und Shellcode auszuführen, die C2-IP-Adresse zu aktualisieren und sich selbst vom Host zu entfernen. Die Herkunft des Angreifers hinter der Kampagne ist unklar und es gibt keine taktischen Überschneidungen mit anderen bekannten Bedrohungsakteuren. Es wird jedoch als das Werk eines „fortgeschrittenen Angreifers“ eingeschätzt.